Denetim, Güvence ve Kontrol Uzmanlarının
BT Standartları, Rehberleri, Araçları ve
Teknikleri



Mesleki Etik Kuralları
BT Denetim ve Güvence Standartları, Rehberleri ve
Araçları ve Teknikleri
BS Kontrol Uzmanları Standartları
Çevirmen
Ömer YURDAGÜL
İÇ DENETÇİ
1 Mart 2010’dan İtibaren Geçerlidir
1
ISACA
2009-2010 YÖNETİM KURULU ÜYELERİ
Emil D‘Angelo,
George Ataya,
Yonosuke Harada,
Ria Lucas,
Jose Angel Pena Ibarra,
Robert E. Stroud,
Kenneth L. Vander Wal,
Rolf von Roessing,
Lynn Lawton,
Everett C. Johnson Jr.,
Gregory T. Grocholski,
Tony Hayes,
Howard Nicholson,
J eff Spivey,
CISA, CISM Tokyo Bankasu -Mitsubishi UFJ Ltd., ABD, Uluslararası BaĢkanı
CISA, CISM, CGEIT, CISSP ICT Control SA-NV, Belçika, BaĢkan Yardımcısı
CISA, CISM, CGEIT, CAIS InfoCom AraĢtırma ġirketi., Japonya, BaĢkan Yardımcısı
CISA, CGEIT Telstra Limited ġirketi, Australia, BaĢkan Yardımcıs
CGEIT Alintec, Meksika, BaĢkan Yardımcısı
CGEIT CA ġirketi , ABD, BaĢkan YArdımcısı
CISA, CPA Ernst & Young LLP (Emekli), USA, BaĢkan Yardımcısı
CISA, CISM, CGEIT KPMG Almanya, Almanya, BaĢkan Yardımcısı
CISA, FBCS CITP, FCA, FIIA KPMG LLP, UK, Uluslararası Eski BaĢkanı
CPA Deloitte & Touche LLP (Emekli), ABD, Uluslararası Eski BaĢkanı
CISA The Dow Kimyasal ġirketi., ABD, Yönetici
CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA Queensland Hükümeti, Australia, Yönetici
CISA, CGEIT City of Salisbury, Avustralya, Yönetici
CPP, PSP Güvenlik Risk Yönetimi, USA, Vakıf Yöneticisi
2009-2010 MESLEKİ STANDART KURULU
BaĢkan, John Ho Chi,
Manuel Aceves,
Xavier Jude Corray,
Murari Kalyanaramani,
John G. Ott,
Edward J. Pelcher,
Rao Hulgeri Raghavendra,
Elizabeth M. Ryan,
Meera Venkatesh,
CISA, CISM, CBCP, CFE Ernst & Young LLP, Singapur
CISA, CISM, CGEIT Cerberian DanıĢmanlık, Meksika
CISA, MACSc Allsecure-IT Pty., Ltd., Australya
CISA, CISM, CISSP British American Tobacco GSD, Malezya
CISA, CPA AmerisourceBergen, ABD
CISA, CGEIT Genel Denetim Ofisi, Güney Afrika
CISA, CQA, PGDIM Oracle Finansal Hizmetler Yazılımı Ltd.ġti.,Hindistan
CISA Deloitte & Touche LLP, ABD
CISM, CISA, ACS, CISSP, CWA Microsoft Corp., ABD
Standartlarda Sorumluluk Reddi
ISACA, ET denetçileri ve Güvence Uzmanları için ISACA Mesleki Etik Kuralları‘nda belirtilen mesleki sorumlulukları karĢılamak için
gerekli kabul edilebilir asgari performans seviyesi olarak bu Rehberi hazırlamıĢtır. ISACA, bu ürünün kullanımının baĢarılı sonucu
kesinlikle sağlayacağı iddiasını ileri sürmemektedir. Bu yayının bütün uygun bilgiyi, usulleri ve testleri ya da aynı makul sonuçları
verebilecek diğer istisnai bilgi, usul ve testleri içerdiği varsayılmamalıdır. Özel bir bilginin, usulün ya da testin uygunluğunun
belirlenmesinde güvenlik ve kontrol uzmanları, ilgili sistemlerin ya da bilgi teknolojileri ortamının özgün koĢullarının ortaya koyduğu
koĢullara dair kendi mesleki yargılarını kullanmalıdırlar.
Standartları Bildirimi ve Telif Hakkı Uyarısı
©2010 ISACA. Bütün hakları mahfuzdur. Bu yayının herhangi bir kısmı ISACA‘nın yazılı izni alınmaksızın geri alınabilir bir sistemde
kullanılamaz, çoğaltılamaz, yeniden üretilemez, değiĢtirilemez, dağıtılamaz, gösterilemez, depolanamaz ya da herhangi bir araçla
(elektronik, mekanik, fotokopi, kayıt ya da diğerleri) aktarılamaz. Bu yayının herhangi bir parçasının yeniden üretilmesine sadece
akademik, kurum içi ve ticari olmayan kullanım amaçlar için izin verilir ve ―© 2009 ISACA. Bu belgede, ―ISACA‘nın izni ile yeniden
basılmıĢtır.‖ ifadesi belirtilmelidir. Bu yayınla ilgili herhangi bir diğer izin ya da hak verilmesi söz konusu değildir.
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Telefon: +1.847.253.1545
Faks: +1.847.253.1443
E-posta: [email protected]
Web sitesi: www.isaca.org
© 2010 ISACA Bütün hakları mahfuzdur.
2
İçindekiler Tablosu
Sayfa
Mesleki Etik Kuralları
4
Bu Yayınının Nasıl Kullanılacağı
5
BT Denetim ve Güvence Standartlarının Gözden Geçirilmesi
6
BT Denetim ve Güvence Standartları, Rehberleri, Araçları ve
Teknikleri Usülleri Ġndeksi
7
BT Denetim ve Güvence Standartları
9
BT Denetim ve Güvence Rehberleri Alfabetik Listesi
27
BT Denetim ve Güvence Rehberi
28
BT Denetim ve Güvence Araç ve Teknikleri
214
BT Bağımsız Denetim Meslek Standartları
314
GeçmiĢ
315
ISACA Standartları Yorum Formu Belgesi
316
3
Mesleki Etik Kuralları
Bilgi Sistemleri Denetim ve Kontrol Derneği (ISACA), bu Meslek Etik Kurallarını, meslek uzmanlarının, Dernek üyesi olan bireylerin
ve/veya Dernek sertifikasına sahip olanların ilgili denetimleri yürütmesinde rehberlik etmesi amacıyla oluĢturmuĢtur.
ISACA sertifikası sahipleri ve üyeleri aĢağıdakileri yapacaktır:
1.
Bilgi sistemleri için uygun standartların, usullerin ve kontrollerin uygulanmasını desteklemek ve bunlarla uyumlu olmayı
desteklemek.
2.
Meslek standartları ve en iyi uygulamalar çerçevesinde görevlerini gerekli özen ve mesleki dikkati göstererek yapmak.
3.
Yasalar çerçevesinde ve dürüst bir biçimde ilgililerin çıkarlarına uygun davranıĢlarda bulunmak, bunu yaparken de yapılan
iĢlerin yüksek standartlarından ödün vermemek ve mesleğe zarar verecek davranıĢlardan uzak durmak.
4.
Yasal makamlarca açıklanması istenmediği sürece elde edilen bilginin mahrem ve gizli kalmasını sağlamak. Bu tür bir bilgi
kiĢisel çıkar amacıyla kullanılmamalı ve uygun olmayan taraflara açıklanmamalıdır.
5.
Ġlgili olduğu alanlarda uzmanlığını geliĢtirmek ve sadece bu faaliyetlerle ilgili konularda anlaĢma yapmak, onlar mesleki
yeterlilikle makul bir Ģekilde tamamlamasını bekler.
6.
Yapılan iĢin sonuçlarına dair uygun tarafları bilgilendirmek; bilinen tüm önemli bulguları açıklamak.
7.
Bilgi sistemleri güvenlik ve kontrollerinde ilgili paydaĢların anlayıĢının geliĢtirilmesinde uzmanlık eğitimlerini desteklemek.
Burada belirtilen Meslek Etik Kurallarıyla uyumlu hareket etmemek üyenin ya da sertifika sahibinin davranıĢları sonunda
soruĢturulmasına ve sonuçta disiplin yaptırımlarının uygulanmasına yol açabilir.
4
Bu Yayının Nasıl Kullanılacağı
Standartların Rehberler ve Araçlar ve Tekniklerle ĠliĢkisi
BT Denetim ve güvence Standartları, sertifika sahiplerinin denetim ve denetim bulguları hakkındaki raporları için zorunlu ihtiyaçlardır..
BT Denetim Rehberleri, Araç ve Teknikleri, bu standartların izlenmesinde ayrıntılı birer yol göstericidir. BT Denetim ve Güvence
Rehberleri, BT denetim, ve Güvence Uzmanını rehberleri takip edemeyeceği durumların söz konusu olabileceği anlayıĢıyla, BT
denetçisinin normal olarak izleyeceği rehberlerdir. Bu durumda, iĢin yapılma Ģeklini gerekçelendirmek BT denetim ve güvence
uzmanının sorumluluğundadır. Araçlar ve Teknikler, BT denetim ve Güvence Uzmanlarının iĢlev adımlarını gösterir ve BT Denetim ve
Güvence rehberlerine kıyasla daha bilgilendiricidir. Örnekler, BT Denetim ve Güvence Standartları ve BT Denetim ve Güvence
Rehberlerini izleyecek biçimde yapılandırılmıĢtır ve BT Denetim ve Güvence Standartlarının izlenmesi hakkında bilgi sağlarlar. Bazı
noktalarda, bunlar ayrıca izlenecek usuller için en iyi uygulamaları oluĢturur.
Kodlama
Standartlar yayınlanma sıralarına göre ardıĢık olarak verilmiĢtir, S1 ile baĢlar.
Rehberler, yayınlanma sıralarına göre ardıĢık olarak verilmiĢtir, G1 ile baĢlar.
Araçlar ve Teknikler, yayınlanma sıralarına göre ardıĢık olarak verilmiĢtir, P1 ile baĢlar.
Kullanım
BT denetim ve güvence uzmanı, yıllık denetim programı süresince ve yıl içinde yapılan bireysel denetimler boyunca, standartları
gözden geçirerek bunlara uymayı sağlayıp sağlamadığını dikkate alması önerilir. BT denetim ve Güvence Uzmanı, ISACA
standartlarına raporunda gönderme yaparken denetimin ülke yasalarına, yürürlükteki denetim düzenlemelerine ve ISACA standartlarına
uygun olarak yapıldığını belirtebilir.
Elektronik Kopyalar
ISACA standartlarının, rehberlerinin ve usullerinin tamamı ISACA web sitesi www.isaca.org/standards üstünden gönderilir.
Sözlükçe
Terimlere ait tam bir sözlükçe ISACA web sitesinin www.isaca.org/glossary adresinde bulunabilir.
5
BT Denetim ve Güvence Standartlarının Gözden Geçirilmesi
ISACA tarafından hazırlanmıĢtır.
Bilgi teknolojilerinin (BT) denetimi ve güvencesinin yapısı ve bu türde bir denetimi yerine getirmek için gereken yetenekler özellikle BT
denetimi ve güvencesine uygulanması gereken standartları zorunlu kılar. ISACA‘nın amaçlarından biri, geniĢ görüĢlülüğü gereğince
küresel olarak uygulanabilir standartları geliĢtirmektir. BT Denetim ve Güvence Standartlarının geliĢtirilmesi ve yaygınlaĢması, denetçi
topluluğuna ISACA‘nın uzman katkılarında bir köĢe taĢı niteliğini taĢır. Rehberlerin çeĢitli seviyeleri vardır :



Standartlar, BT denetimi ve güvencesinde ve raporlamasında, ―zorunlu ihtiyaçları‖ tanımlar. AĢağıdaki konularda bildirimde
bulunurlar:

ISACA‘nın Mesleki Meslek Etik Kurallarında oluĢturulan BT Denetim ve Güvence Uzmanlarını mesleki sorumluluklarını, ET
denetçilerinin kabul edilebilir asgari seviyede uygulanmasını sağlamak için zorunluluktur.


Mesleği icra edenlerin ortaya çıkaracağı iĢlerle ilgili yönetim ve diğer ilgili tarafların beklentilerini
Bilgi Sistemleri Denetçisi Sertifikası Sahiplerinin (CISA) atanmasının Ģartlarını. Bu standartlara uymakta baĢarısız olunması
durumunda CISA sertifikası sahibi hakkında ISACA Yönetim Kurulu veya uygun ISACA Komitesince soruĢturma açılır ve
disiplin yaptırımı uygulanabilir.
Rehberler, BT Denetim ve Güvence standartlarının uygulanmasında ―yol göstericilik‖ sağlar. BT Denetim ve Güvence Uzmanı,
bunları standartların baĢarıyla uygulanmasında dikkate almalı, bunların uygulanmasında mesleki yargısını kullanmalı ve bunlardan
herhangi bir biçimde ayrılırsa, ayrılma nedenlerini gerekçelendirmeye hazır olmalıdır. BT Denetim ve Güvence Rehberlerinin
amacı, BT Denetim ve Güvence Standartlarıyla uyumun nasıl sağlanılacağı konusunda daha fazla bilgi sağlamaktır.
Araç ve teknikler, bir BT denetim ve güvence uzmanının, denetim görevi sırasında kullanacağı usullerin örneklerini sağlar. Bu
usul belgeleri, BT denetim ve güvence çalıĢmasının yürütülmesi sırasında standartların nasıl sağlanacağına dair bilgi sağlar, ancak
zorunluluklar öngörmez. BT Denetim ve Güvence Araç ve Tekniklerinin amacı, BT Denetim ve Güvence Standartlarıyla uyumun
nasıl daha fazla sağlayacağı konusunda bilgi sağlamaktır.
Bilgi ve Ġlgili Teknoloji için Kontrol Hedefleri (COBIT®) BT YönetiĢim Enstitüsü tarafından yayımlanmıĢtır. Bu bir bilgi teknolojisi
(BT) yönetiĢim çerçevesidir ve yöneticilerin kontrol gereksinimleri, teknik meseleler ve iĢ riskleri arasındaki boĢluklarda köprüler
kurmasına imkan sağlar. COBIT, tüm kurumlarda BT kontrolleri için açık politikalar geliĢtirmesini ve iyi uygulamalara imkan sağlar.
Düzenleyici uygulamalara vurgu yapar, kurumların BT‘den elde edeceği değerleri artırmasına yardımcı olur ve yönetimi sağlar ve CobIT
çerçeve kavramlarının uygulanmasını kolaylaĢtırır. CobIT, iĢ dünyası ve BT yöneticileri ile BT denetim ve güvence uzmanlarının
kullanması amacıyla tasarlanmıĢtır, bu nedenle CobIT kullanıldığında iĢ amaçlarının anlaĢılmasını, iyi uygulamalarla iletiĢim
kurulmasını, ortak algı bağlamındaki önerileri ve saygın çerçevelerin algısını kolaylaĢtırır. CobIT, ISACA sitesinin www.isaca.org/CobIT
adresinden indirilebilir. CobIT, çerçevesinde de tanımlandığı gibi aĢağıdaki her bir ürün ve/veya unsur BT yönetim sürecinde
örgütlenmiĢtir:




Kontrol hedefleri - BT süreçleriyle ilgili asgari seviyede iyi kontrol için türetilmiĢ bildirimler
Yönetim rehberleri— OlgunlaĢma modellerini kullanarak, BT süreci performanslarının nasıl değerlendirileceğine ve
geliĢtirileceğine rehberlik eder; Sorumluluk, Hesap verebilirlik, DanıĢma ve/veya Bilgilendirme (RACI [SHDB]) Ģemaları; hedefler;
ölçütler. Özellikle aĢağıdaki konulara yoğunlaĢarak sürekli ve geleceğe yönelik öz-değerlendirme kontrolünü yönetim eğilimli olarak
sunar:
–
Performans ölçümleri
–
BT kontrolü belirgin özellikleri
–
Farkındalık
–
Kıyaslama
COBIT Kontrol Uygulamaları—Risk ve değer bildirimleri ve kontrol hedefleri için rehberin ‗Nasıl uygulanacağı‘
IT Güvence Rehberi—Her bir kontrol alanında nasıl bir anlayıĢ edinileceği, her bir kontrolün nasıl değerlendirileceği, uygunluk
değerlendirmesi ve karĢılanmayan risk kontrollerinin doğrulanmasına rehberlik sağlar.
Terimleri içeren bir sözlükçe ISACA sitesinde www.isaca.org/glossary adresinde bulunabilir. ―Denetim‖ ve ―Gözden Geçirme‖
kavramları, BT Denetim ve Güvence Standartları, Rehberleri ve Araç ve Tekniklerinde birbirinin yerine kullanılmaktadır.
Sorumluluk Reddi: ISACA, BT denetçileri için ISACA Mesleki Etik Kuralları‘nda belirtilen mesleki sorumlulukları karĢılamak için gerekli
kabul edilebilir asgari performans seviyesi olarak bu rehberi hazırlamıĢtır. ISACA, bu ürünün kullanımının baĢarılı sonucu kesinlikle
sağlayacağı iddiasını ileri sürmemektedir. Bu yayının bütün uygun bilgiyi, usulleri ve testleri ya da aynı makul sonuçları verebilecek
diğer istisnai bilgi, usul ve testleri içerdiği varsayılmamalıdır. Özel bir bilginin, usulün ya da testin uygunluğunun belirlenmesinde, test
yada kontrol uzmanları, ilgili sistemlerin ya da bilgi teknolojileri ortamının özgün koĢullarının ortaya koyduğu koĢullara dair kendi mesleki
yargılarını kullanmalıdırlar.
ISACA Standartlar Kurulu, BT Denetim ve Güvence Standartları, Rehberleri ve Araç ve Tekniklerinin hazırlanmasında geniĢ bir
danıĢmanlık yelpazesiyle iĢbirliği yapmıĢtır. Standartlar Kurulu, herhangi bir belge yayınlanmadan önce, söz konusu taslağını
uluslararası kamuoyunun bilgisine sunmaktadır. Mesleki Standartlar Kurulu, ayrıca ele alınan konunun uzmanlarıyla veya bu konuyla
özel olarak ilgilenenlerle gerekmesi durumunda iletiĢim kurmaktadır. Standartlar Kurulunun, sürekli bir geliĢtirme programı vardır ve
ISACA üyelerinin ve diğer ilgili tarafların yeni standartlar gerektiren durumların varlığıyla ilgili girdilerine her zaman açıktır. Her türlü
öneri, e-posta ([email protected]), faks (+1.847. 253.1443) ya da posta yoluyla(kitabın sonundaki adrese) ISACA Uluslararası
Merkezine, VAL IT faaliyeti yöneticisinin dikkatine gönderilebilir.
6
BT Denetim ve Güvence Standartları Ġndeksi
Yürürlük Tarihi
S1 Denetim Yönetmeliği
1 Ocak 2005
S2 Bağımsızlık
1 Ocak 2005
S3 Mesleki Etik ve Standartları
1 Ocak 2005
S4
Yeterlilik
1 Ocak 2005
S5
Planlama
1 Ocak 2005
S6
Denetim Görevinin Yürütülmesi
1 Ocak 2005
S7
Raporlama
1 Ocak 2005
S8
Denetim Sonrası Ġzleme Faaliyetleri
1 Ocak 2005
S9
Aykırılıklar ve YasadıĢı DavranıĢlar
1 Eylül 2005
S10 BT YönetiĢimi
1 Eylül 2005
S11 Denetim Planında Risk Değerlendirmesinin Kullanılması
1 Kasım 2005
S12 Denetimin Önemliliği
1 Temmuz 2006
S13 Diğer Uzman ÇalıĢmalarının Kullanımı
1 Temmuz 2006
S14 Denetim Kanıtı
1 Temmuz 2006
S15 BT Kontrolleri
1 ġubat 2008
S16 E-ticaret
1 ġubat 2008
BT Denetim ve Güvence Rehberleri Ġndeksi
G1
G2
G3
G4
G5
G6
G7
G8
G9
G10
G11
G12
G13
G14
G15
G16
G17
G18
G19
G20
G21
G22
G23
G24
G25
G26
G27
G28
G29
G30
G31
G32
G33
G34
G35
G36
G37
G38
G39
G40
G41
G42
Diğer Denetçilerin ÇalıĢmalarının Kullanılması
Denetim Kanıtı Gerekliliği
Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT)
BS Faaliyetlerinin DıĢ Kaynaktan Sağlanması
Denetim Yönetmeliği
Bilgi Sistemleri Denetiminde Önemlilik Kavramları
Beklenen Uzman Özeni
Denetim Belgelendirilmesi
Aykırılıklar ve YasadıĢı Hareketler Açılarından Denetim Varsayımları
Denetim Örneklemesi
Yaygın BS kontrollerinin Etkisi
Kurumsal ĠliĢkiler ve Bağımsızlık
Denetim Planında Risk Değerlendirmesinin Kullanımı
Uygulama Sistemlerinin Gözden Geçirilmesi
Denetimin Planlanması
Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi
BT Denetim ve Güvence Uzmanının Bağımsızlığında Denetim DıĢı Rolünün Etkisi
BT YönetiĢimi
Aykırılıklar ve Yasa DıĢılıklar
Raporlama
Kurumsal Kaynak Planlama (ERP) Sisteminin Gözden Geçirmesi
ġirketten-MüĢteriye (B2C) E-ticaret Gözden Geçirmesi
Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Denetimi Gözden Geçirmeleri
Internet Bankacılığı
Sanal Özel Ağların Gözden Geçirmesi
ĠĢ Süreci DeğiĢim Mühendisliği (BPR) Proje Gözden Geçirilmeleri
Kablosuz EriĢim Araçları
Adli BiliĢim
Uygulama Sonrasının Gözden Geçirmesi
Yeterlilik
KiĢisel Bilginin Gizliliği
ĠĢ Süreklilik Planının (BCP) BT BakıĢıyla Gözden Geçirilmesi
Internet Kullanımında Genel Varsayımlar
Sorumluluk, Yetki ve Hesap Verebilirlik
Denetim Sonrası Ġzleme Faaliyetleri
Biyometrik Kontroller
Konfigürasyon Yönetim Süreci
EriĢim Kontrolleri
BT Organizasyonu
Güvenlik Yönetimi Uygulamalarının Denetimi
Güvenlik Yatırımlarının Geri DönüĢü
Sürekli Güvence
7
1 Haziran 1998
1 Aralık 1998
1 Aralık 1998
1 Eylül 1999
1 Eylül 1999
1 Eylül 1999
1 Eylül 1999
1 Eylül 1999
1 Mart 2000
1 Mart 2000
1 Mart 2000
1 Eylül 2000
1 Eylül 2000
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
Gözden Geçirme
1 Temmuz 2002 Kaldırılma
1 Ağustos 2003 Güncellenme
1 Mart 2008
1 Mayıs 2008
1 Mart 2008
1 Mayıs 2008
1 ġubat 2008
1 Mayıs 2008
1 Mart 2008
1 Mart 2008
1 Eylül 2008
1 Ağustos 2008
1 Ağustos 2008
1 Ağustos 2008
1 Ağustos 2008
1 Kasım 2001
1 Mayıs 2010
1 Mart 2009
1 Mayıs 2010
1 Temmuz 2002
1 Eylül 2008
1 Ocak 2003
1 Ağustos 2003
1 Ekim 2008
1 Ağustos 2003
1 Ağustos 2003
1 Temmuz 2004
1 Temmuz 2004
1 Eylül 2004
1 Eylül 2004
1 Ocak 2005
1 Haziran 2005
1 Haziran 2005
1 Eylül 2005
1 Mart 2006
1 Mart 2006
1 Mart 2006
1 ġubat 2007
1 Kasım 2007
1 ġubat 2008
1 Mayıs 2008
1 Aralık 2008
1 Mayıs 2010
1 Mayıs 2010
BT Denetim ve Güvence Araçları ve Teknikleri Ġndeksi
P1
P2
P3
P4
P5
P6
P7
P8
P9
P10
P11
BT Risk Değerlendirmesi
Dijital Ġmzalar
Saldırı Tespiti
Virüsler ve diğer Zararlı Kodlar
Kontrol Risk Öz Değerlendirmesi
Güvenlik Duvarları
Aykırılıklar ve YasadıĢı Hareketler
Güvenlik Değerlendirmesi — Saldırı Testi ve Zayıflık Analizi
Kriptolama Yöntemleri Üzerindeki Yönetim Kontrollerinin Değerlendirilmesi
ĠĢ Uygulamaları DeğiĢiklik Kontrolü
Elektronik Fon Transferi (EFT)
8
1 Temmuz 2002
1 Temmuz 2002
1 Ağustos 2003
1 Ağustos 2003
1 Ağustos 2003
1 Ağustos 2003
1 Kasım 2003
1 Eylül 2004
1 Ocak 2005
1 Ekim 2006
1 Mayıs 2007
BT Denetim ve Güvence Standartları
ISACA tarafından hazırlanmıĢtır
S1 Denetim Yönetmeliği
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, denetim süresince kullanılan Denetim Yönetmeliği ile ilgili olarak bir rehber oluĢturmak ve
sağlamaktır.
Standart
03
Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı, sorumluluğu, yetkisi ve hesap verebilirliği
denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde belgelenmelidir.
04
Denetim Yönetmeliği ya da hizmet sözleĢmesi üstünde kurum(lar) içinde uygun seviyede anlaĢmaya varılmalı ve
onaylanmalıdır.
Açıklama
05
Kurum içi bilgi sistemleri denetim iĢlevinin, bir Denetim Yönetmeliği sürekli faaliyetleri kapsayacak biçimde hazırlanmalıdır.
Denetim Yönetmeliği, yıllık olarak yada sorumlulukların çeĢitlenmesi ya da değiĢmesi durumunda daha sıklıkla gözden
geçirilmelidir. Bir hizmet sözleĢmesi, Kurum içi BS denetçisinin denetime özel yada denetim dıĢı görevlerin kapsamını yeterince
netleĢtirmek yada onaylamak için kullanılabilir. . DıĢarıdan bir BS denetçisi için hizmet sözleĢmesi her denetim veya denetim
dıĢı görev için normal olarak hazırlanmalıdır.
06
Denetim Yönetmeliği ya da hizmet sözleĢmesi, denetim iĢlevi ya da görevinin amaç, sorumluluk ve kısıtlamaları arasında yeterli
iliĢkiyi kuracak kadar ayrıntılandırılmalıdır.
07
Denetim Yönetmeliği ya da hizmet sözleĢmesi, yazılı hale getirilen amaç ve sorumluluğu sağladığından emin olmak için belirli
aralıklarla gözden geçirilmelidir.
08
Denetim Yönetmeliği ya da hizmet sözleĢmesi hazırlarken daha fazla bilgi için aĢağıdaki rehberlere ilgi gösterilmelidir:


BS Denetim Rehberi G5 Denetim Yönetmeliği
COBIT Çerçevesi, Kontrol Hedefi M4
Yürürlük Tarihi
09
Bu ISACA Standardı, 1 Ocak 2005 tarihinde ve sonrasında baĢlayan bütün Bilgi sistemleri denetimleri için geçerlidir.
9
S2 Bağımsızlık
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, denetim süresince bağımsızlık konusunda bir yol gösterici oluĢturmak ve sağlamaktır.
Standart
03
Mesleki Bağımsızlık,
Denetimle ilgili bütün konularda, BS denetçisi hem tavır hem de görünüĢ olarak denetlenen kurumdan bağımsız
olmalıdır.
04
Kurumsal Bağımsızlık
BS Denetim iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına olanak vermek için, denetim
alanı veya faaliyetlerden bağımsız olmalıdır.
Açıklama
05
Denetim Yönetmeliği ya da hizmet sözleĢmesi, denetim iĢlevinin bağımsızlık ve hesap verebilirliğini içermelidir.
06
BS Denetçisi, tutum ve davranıĢlarında daima bağımsız olmalı ve bağımsız görünmelidir.
07
Gerçekte ya da görünüĢte bağımsızlık zarar görürse, zararın ayrıntıları ilgili taraflara açıklanmalıdır.
08
BS denetçisi, kurumsal olarak denetim alanından bağımsız olmalıdır.
09
Bağımsızlık, BS denetçisi, yönetim ve eğer var ise denetim komitesi tarafından düzenli olarak değerlendirilmelidir.
10
Düzenleyici kurumlar veya diğer mesleki standartlarca yasaklanmadıkça, BS denetçisinin, BS faaliyetlerindeki rolünün niteliği
denetim dıĢı olduğu durumlarda bağımsız olmasına veya bağımsız gibi görünmesine gerek yoktur.
11
Mesleki ve Kurumsal Bağımsızlık hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

BS Denetim Rehberi G17, BS Denetçisinin Bağımsızlığında Denetim DıĢı Rolünün Etkisi.

BS Denetim Rehberi G12, Kurumsal ĠliĢkiler ve Bağımsızlık

COBIT Çerçevesi, Kontrol Hedefi M4.
Yürürlük Tarihi
12
Bu ISACA Standardı, 1 Ocak 2005 tarihinde baĢlayan bütün Bilgi sistemleri denetimleri için geçerlidir.
10
S3 Mesleki Etik1 ve Standartlar
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, BS denetçisinin ISACA‘nın Mesleki Etik Kurallarına bağlı kalmasına ve denetim görevinde
beklenen mesleki özeni uygulamasında standart oluĢturmak ve rehber sağlamaktır.
Standart
03
BS denetçisi, denetim yaparken ISACA Meslek Etik Kurallarına bağlı kalmalıdır.
04
BS denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını gözeterek gereken mesleki özeni
göstermelidir.
Açıklama
05
ISACA tarafından yayımlanan ISACA Mesleki Etik Kuralları, denetim mesleğinin ortaya çıkan yönelim ve gereksinimlerine uygun
olarak zaman içinde değiĢecektir. ISACA üyeleri ve BS denetçileri, bir denetçi olarak görevlerini yerine getirirlerken en son
ISACA Meslek Etik Kurallarına uygun davranmalıdırlar.
06
ISACA Meslek Etik Kuralları, sürekli geliĢme için düzenli olarak gözden geçirilmekte ve denetim mesleğindeki zorluklara uyum
sağlaması gereğini karĢılamak amacıyla gerektiğinde değiĢtirilmektedir. ISACA üyeleri ve BS denetçileri, denetim görevlerini
yerine getirirlerken en son yürürlükteki BS denetim standartlarının farkında olmalı ve beklenen mesleki özeni göstermelidirler.
07
ISACA‘nın Mesleki Etiği Ġlkelerine ve/veya BS denetim standartlarına uyumda baĢarısızlık, ISACA üyesinin ya da CISA sahibinin
disiplin soruĢturmasına uğraması ya da tamamen ihracıyla sonuçlanabilir.
08
ISACA üyeleri ve BS denetçileri, denetim görevlerini yerine getirirken kendi takım üyeleriyle iletiĢim kurmak ve takımın Mesleki
Etik Ġlkelerine ve uygulanabilir BS Denetim Standartlarına uymalarını sağlamak durumundadırlar.
09
BS denetçileri, denetim görevlerini yerine getirirlerken karĢılaĢtıkları her durumda Meslek Etiği uygulamaları veya BS Denetim
Standartlarına uygun olarak iĢlem yapmalıdırlar. Meslek Etik ve BS denetim standartları zarar görmüĢ ya da zarar görüyor gibi
görünüyorsa, BS denetçisi sözleĢmeden çekilmeyi düĢünmelidir.
10
BS denetçisi, en yüksek seviyede dürüstlüğü ve ahlakı korumalı ve yasadıĢı, etik veya mesleki uygulamalarına uygun olmayan
yöntemleri kullanılmamalıdır.
11
Meslek Etiği ve Standartları hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:




BS Denetim Rehberi G19, Aykırılıklar ve YasadıĢılıklar
BS Denetim Rehberi G7 Beklenen Mesleki Özen
BS Denetim Rehberi G12, Kurumsal ĠliĢkiler ve Bağımsızlık
COBIT Çerçevesi, Kontrol Hedefleri M4.
Yürürlük Tarihi
12
Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
1
Çevirenin Notu: “Meslek etiği” kavramına en çok uyacak kelimenin “meslek töresi” olduğu düşünülmektedir.
Kullanımının yaygın oluşu ve genel kabul görmesi nedeniyle “meslek etiği” kavramı tercihan kullanılmıştır. Medeni
Hukuk alanında yardımcı kaynak olarak töre kuralları kabul edilmektedir. Mahkemeler, kanunlarda bir düzenlemenin
bulunmaması durumunda konu ile ilgili “gelenek ve töreler” ihtilafın çözümlenmesinde başvuru kaynağı kabul
edilmektedir.
11
S4 Mesleki Yeterlilik
GiriĢ
01
02
Temel ilkeleri ve ana unsurları içeren ISACA standartları kalın olarak belirtilmiĢlerdir ve bunlar ilgili rehberle birlikte
zorunludurlar.
Bu BS Denetim Standardının amacı, BS Denetçisinin mesleki yeterliğe ulaĢıp bu yeterliğini muhafaza etmesi için ona rehberlik
etmektir.
Standart
03
BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki açıdan yeterli olmalıdır.
04
BS Denetçisi, sürekli mesleki eğitim almak suretiyle mesleki yeterliğini devam ettirmek durumundadır.
Açıklama
05
BS Denetçisi, iĢe baĢlamadan önce, mesleki yeterliliğinin (planlanan iĢle ilgili becerisi, bilgisi, ve tecrübesinin) bulunduğu
konusunda makul güvence sağlamalıdır. ġayet bunlar yoksa, BS Denetçisi görevi red etmeli yada geri çekilmelidir.
06
Eğer zorunlu ise, BS Denetçisi, CISA‘nın sürekli mesleki eğitimi ya da geliĢtirme gereksinimlerini ve denetimle ilgili diğer mesleki
atama Ģartlarını karĢılamalıdır. CISA‘ya ya da denetimle ilgili diğer atama Ģartlarına sahip olmayan ve bilgi sistemleri
denetiminde yer alan ISACA üyeleri, yeterli resmi eğitim, hizmet içi eğitim ve iĢ deneyimine sahip olmalıdır.
07
BS Denetçisi, denetim görevini yürüten bir takımı yönetiyor ise,
bütün üyelerin, yaptıkları iĢe uygun mesleki yeterlilik
seviyesine sahip olduklarına makul güvence sağlamalıdır.
08
Mesleki Yeterlilik hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:
 CISA sertifikasyon ve eğitim materyali
 CISA sürekli sertifikasyon ve eğitim gereksinimleri
 COBIT çerçevesi, kontrol hedefleri M2, M3 ve M4.
Yürürlük Tarihi
13
Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
12
S5 Planlama
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, denetimin planlaması konusunda standartları oluĢturmak ve klavuz sağlamaktır.
Standart
03
BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve yürürlükteki kanun ve
mesleki denetim standartlarıyla uyumlu planlamalıdır.
04
BS Denetçisi, risk tabanlı bir denetim yaklaĢımı geliĢtirmeli ve belgelendirmelidir..
05
BS Denetçisi, denetimin doğasını ve hedefleri, zamanlaması ve kapsam ve hedeflerini ve gerekli kaynakların
ayrıntılarını listeleyen denetim planını geliĢtirmeli ve belgelendirmelidir.
06
BS Denetçisi, denetimini gerçekleĢtirmek için gerekli ayrıntılı Ģekilde denetim sürecinin doğasını, zamanlaması, ve
sınırlarını içeren bir denetim programı ve/veya planı geliĢtirmeli ve belgelendirmelidir.
Açıklama
07
Bir iç denetim birimi, sürekli faaliyetler için en azından yıllık olarak bir plan geliĢtirilmeli ve güncelleĢtirilmelidir. Bu plan denetim
faaliyetlerinin çerçevesi olmalı ve denetim yönetmeliğiyle oluĢturulan sorumlulukları yerine getirmeyi sağlamalıdır. Yeni /
güncellenmiĢ plan, eğer var ise denetim komitesince onaylanmıĢ olmalıdır.
08
Bir dıĢ BS Denetiminde, normalde her bir denetim veya denetim dıĢı görev için bir plan hazırlanmıĢ olmalıdır. Bu plan
denetimin hedeflerini kapsamalıdır.
09
BS Denetçisi, denetim faaliyetleri anlamalıdır. Gerekli bilginin kapsamını kurumun doğası, çevresi ve riskleri ve denetimin
hedefleri belirlenmelidir.
10
BS Denetçisi, denetim sırasında bütün önemli konuların yeterli bir Ģekilde kapsayacağı konusunda makul güvence sağlamak
için risk değerlendirmesi yapmak durumundadır. Denetim stratejileri, önemlilik seviyeleri ve kaynaklar sonra geliĢtirilebilir.
11
Denetim programı ve/veya planının, denetimin yürütülmesinde ortaya çıkan durumlara göre (yeni riskler, yanlıĢ varsayımlar
veya hâlihazırda gerçekleĢtirilmiĢ iĢlemlerden elde edilen bulgular gibi) denetim yönünün değiĢtirilmesine ihtiyaç
duyulabilir.
12
Bir denetim yönetmeliği veya hizmet sözleĢmesi hazırlanması konusunda daha fazla bilgi için aĢağıdaki rehberlere
baĢvurulabilir:

BS Denetim Rehberi G6, Bilgi Sistemlerin Denetimi için Gereklilik Kavramları

BS Denetim Rehberi G15, Planlama

BS Denetim Rehberi G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı

BS Denetim Rehberi G16 Bir Organizasyonunun BT kontrollerinde Üçüncü Tarafların Etkileri

COBIT Çerçevesi, Kontrol Hedefleri
Yürürlük Tarihi
14
Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
13
S6 Denetim ĠĢinin Yürütülmesi
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standartlarının amacı, denetim iĢinin yürütülmesi ile ilgili rehber ve standartlar oluĢturmak ve sağlamaktır.
Standart
03
Denetim ve Gözetim-BS Denetim Kadrosu, denetim hedeflerinin baĢarıldığının ve yürürlükteki mesleki denetim
standartlarının karĢılandığının makul güvencesini sağlamak amacıyla denetimin iĢinin yürütülmesi esnasında gözden
geçirilmelidir.
04
Kanıt-Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için gereken yeterli, güvenilir ve iliĢkili
bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve yorumuyla desteklenmelidir.
05
Dosyalama-Denetim süreci, yapılan denetimi ve BS Denetçisinin bulgu ve sonuçlarını destekleyen denetim kanıtını
gösterir bir biçimde dosyalanmak zorundadır.
Açıklama
06
BS Denetim takımının rol ve sorumlulukları, asgari karar verme, uygulama ve gözden geçirme rollerini belirleyecek biçimde,
denetimin baĢlangıcında oluĢturulmalıdır.
07
SözleĢme kapsamında gerçekleĢtirilmekte olan iĢ, önceden belirlenmiĢ usuller takip edilerek sınıflandırılmalı ve
dosyalanmalıdır. Bu dosyada, iĢ kapsam ve hedefleri, denetim programı, yürütülecek denetim aĢamaları, toplanan kanıtlar,
bulgular, sonuçlar ve öneriler gibi Ģeyler bulunmalıdır.
08
Denetim dosyası, bağımsız bir tarafın denetim sırasında gerçekleĢtirilen bütün görevleri yeniden gerçekleĢtirdiğinde aynı
sonucu elde etmesine fırsat tanıyacak biçimde düzenlenmelidir.
09
Denetim dosyası, her denetim görevini kimin gerçekleĢtirdiğini ve rolünün ne olduğunu ayrıntılı biçimde içermelidir. Genel bir
kural olarak, takımın bir üyesi veya bir üyeler grubu tarafından yapılan denetimle ilgili her görev, karar ve adım veya ortaya
çıkan sonuç, ilgili konunun önemine uygun olarak görevlendirilen aynı takımın diğer bir üyesi tarafından gözden geçirilmelidir.
10
BS Denetçisi, denetim kanıtının elde edilmesi için gerekli zaman, çaba ve denetim hedefinin önemiyle tutarlı ulaĢılabilir en iyi
denetim kanıtını kullanmayı planlamalıdır.
11
Denetim kanıtı, BS Denetçisinin bulgu ve sonuçlarını desteklemek ve görüĢlerini Ģekillendirmek için yeterli, güvenilir, ilgili ve
faydalı olmalıdır. BS Denetçisi, denetim kanıtının bu kıstasları karĢılamadığına karar verir ise daha fazla denetim kanıtı elde
etmelidir.
12
Denetim iĢinin yürütülmesi hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:
 COBIT Çerçevesi, Kontrol Hedefleri
Yürürlük Tarihi
13
Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
14
S7 Raporlama
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, BS denetçisinin raporlama sorumluluğunu yerine getirirken kullanacağı standardı
oluĢturmak ve yol göstericilik sağlamaktır.
Standart
03
BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır. Rapor, kurumu, hedeflenen
alıcıları ve dağıtım sınırlamalarını tanımlamalıdır.
04
Denetim raporu, yürütülen denetim iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve
sınırlarını ortaya koymalıdır.
05
Rapor, BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini,
niteliklerini veya sınırlandırmalarını belirtmelidir.
06
BS Denetçisi, raporlanan sonuçları destekleyecek uygun ve yeterli denetim kanıtlarına sahip olmalıdır.
07
BS Denetçisi, raporunu bitirdiği zaman raporunu imzalamalı, tarih atmalı ve denetim yönetmeliği veya hizmet
sözleĢmesine göre dağıtmalıdır.
Açıklama
08
Raporun Ģekli ve içeriği, hizmet türü ve anlaĢma açısından çeĢitlilik gösterir. Bir BS Denetçisi aĢağıdaki maddelerden herhangi
birisini uygulayabilir:

Denetim (doğrudan veya onaylı)

Gözden geçirme (doğrudan veya onaylı)

Üzerinde anlaĢılmıĢ usuller
09
10
11
12
13
14
15
BS Denetçisi, anlaĢma maddeleri uyarınca kontrol ortamı üzerinde fikir beyan etmesi gerektiğinde ve önemli veya kayda değer
bir zayıflığın denetim kanıtı bulunması durumu, BS Denetçisinin iç kontrollerin etkili olduğu yönünde sonuca varmasını
imkansız hale getirir. BS Denetçisinin raporu, önemli ve kayda değer zayıflıkları ve bunların kontrol kıstaslarının hedeflerinin
baĢarılmasına etkilerini tanımlamalıdır.
BS Denetçisi taslak raporun içeriğini söz konusu alanda sonlandırılmadan ve yayınlanmadan önce yönetimle tartıĢmalı, . nihai
raporunda, yönetimin yorumlarına uygun yerlerde vermelidir..
BS Denetçisinin, kontrol ortamında önemli hatalar bulduğu durumlarda, bu hataları denetim komitesine veya sorumlu yetkililere
bildirmelidir ve önemli hatalara dair bildirimin yapıldığını raporunda açıklamalıdır.
BS Denetçisi, ayrı raporlar hazırladığı durumlarda nihai raporunda tüm ayrı raporlara gönderme yapmalıdır.
BS Denetçisi, büyük hatalardan daha az önemli olan küçük boyutta iç kontrol yetersizliklerini yönetime bildirip bildirmeme
konusunu kendisi düĢünüp değerlendirmelidir. Bildirmesi durumunda, BS Denetçisi denetim komitesine veya sorumlu yetkililere
bu iç kontrol yetersizliklerinin yönetime iletildiğini bildirmelidir.
BS Denetçisi, uygun ve zamanında önlemlerin alınıp alınmadığını belirlemek için önceki rapor bulgu, sonuç ve önerileriyle ilgili
bilgileri istemeli ve değerlendirmelidir.
Rapor hazırlama hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurulabilir:

BS Denetim Rehberi G20 Raporlama

COBIT Çerçevesi, Kontrol Hedefleri M4.7 ve M4.8
Yürürlük Tarihi
16
Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
15
S8 Denetim Sonrası Ġzleme Faaliyetleri
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, BS Denetim sürecinde kullanılmak üzere denetim sonrası izleme faaliyetleri standardını
oluĢturmak ve yol göstericilik sağlamaktır.
Standart
03
Bulguların ve önerilerin raporlanmasından sonra, BS Denetçisi yönetim tarafından zamanında ve uygun bir Ģekilde
harekete geçilip geçilmediğini belirlemek için ilgili bilgileri istemeli ve değerlendirmelidir.
Açıklama
04
Eğer yönetim, rapordaki uygulama önerilerine dair eylem planını BS Denetçisiyle tartıĢmıĢ yada ona bildirmiĢ ise, bu eylemler
nihai raporda yönetimin verdiği yanıt olarak kaydedilmelidir.
05
Denetim sonrası izleme faaliyetlerinin, doğası, zamanlaması ve kapsamı, raporlanan bulguların önemini ve düzeltici faaliyetlerin
gerçekleĢtirilmemesinin etkisini dikkate almalıdır. Asıl raporla ilgili olarak, BS Denetim sonrası faaliyetlerin zamanlamasını
bağlantılı risklerin doğası yada büyüklüğü ve kuruma maliyeti gibi çok sayıda varsayıma bağlı olarak ortaya çıkan mesleki
yargısıyla belirlemelidir.
06
Ġç denetim BS birimi, yönetimin eylemleri etkili biçimde uygulamasını sağlamak ve izlemek için denetim sonrası izleme süreci
oluĢturmalıdır aksi takdirde üst yönetim harekete geçmemenin riskini kabul eder. Denetim sonrası izleme faaliyetleri
sorumluluğu, iç denetim birimi yönetmeliğinde tanımlanabilir.
07
Görevin alanı ve Ģartlarına bağlı olarak dıĢ BS Denetçileri, kendilerinin üzerinde anlaĢtıkları önerileri izlemek için bir iç BS
Denetim birimine güvenebilirler.
08
Önerileri uygulamak için yapılan etkinliklerle ilgili olarak yönetimin bilgi sağladığı ve BS Denetçisinin de sağlanan bu bilgilerle
ilgili Ģüphelerinin oluĢtuğu durumlarda, denetim sonrası izleme faaliyetleriyle ilgili sonuca varmadan önce gerçek durumun
belirlenmesi amacıyla uygun test yada diğer usullerin kullanılması gereklidir.
09
Üzerinde anlaĢmaya varılmıĢ ama uygulanmamıĢ önerileri de içeren, denetim sonrası izleme faaliyetlerinin durumuyla ilgili bir
rapor eğer var ise denetim komitesine sunulabilir veya aynı rapor diğer bir seçenek olarak uygun seviyedeki kurum yönetimine
sunulabilir.
10
Denetim sonrası izleme faaliyetlerinin bir parçası olarak BS Denetçisi eğer uygulanmadıysa bulguların hala geçerli olup
olmadığını değerlendirmek durumundadır.
Yürürlük Tarihi
11
Bu BS Denetim standardı, 1 Ocak 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
16
S9 Aykırılıklar ve YasadıĢı Hareketler
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu ISACA Standardının amacı, denetim sürecinde BS denetçisinin göz önünde bulundurması gereken aykırılıklar ve yasadıĢı
hareketlerle ilgili standardı oluĢturmak ve yol göstericilik sağlamaktır.
Standart
03
BS Denetçisi ,Denetim riskini düĢük bir seviyeye indirmek için denetimi planlanmasında ve yürütülmesinde aykırılıklar
ve yasadıĢı hareketler riskini göz önünde bulundurmalıdır.
04
BS Denetçisi denetim süresince; aykırılıklar ve yasadıĢı hareketlerden dolayı önemli yanıltıcı ifadelerin olabileceği
ihtimalini dikkate alarak, aykırılıklar ve yasadıĢı hareketler riski ilgili kendi değerlendirmelerine bakmaksızın mesleki
Ģüphecilik tutumunu sürdürmelidir.
05
BS Denetçisi, iç kontroller dahil kurumun kendisine ve çevresine hakim olmalıdır.
06
BS Denetçisi, . yönetimin veya kurum içindeki diğer kiĢilerin mevcut, Ģüpheli veya iddia edilen herhangi bir düzensizlik
ve yasadıĢı hareketle ilgili bilgilerinin olup olmadığını belirlemek için yeterli ve uygun denetim kanıtı elde etmelidir .
07
BS Denetçisi, kurumun kendisi ve çevresine hakim olmak için denetim sürecini yürütürken aykırılıklar ve yasadıĢı
hareketlerin riskini gösterebilecek sıra dıĢı veya beklenmedik iliĢkileri göz önünde bulundurmalıdır.
08
BS Denetçisi, iç kontrollerin uygunluğunu ve yönetimin bu kontrolleri ihlâl etme riskini test etmek için süreçleri
tasarlamalı ve gerçekleĢtirmelidir.
09
BS Denetçisi, yanıltıcı bir ifade belirlediğinde bu yanıltıcı ifadenin bir aykırılık ve yasadıĢı hareket göstergesi olup
olmadığını değerlendirmelidir. BS Denetçisi, böyle bir gösterge var ise, denetimin diğer yanları ile özellikle de
yönetimin temsilcileriyle iliĢkilerinin çıkarımlarını da dikkate almalıdır.
10
BS Denetçisi yönetimden, en azından yılda bir kez veya denetim görevine bağlı olarak daha sık, yazılı açıklama
istemelidir. Bu açıklama aĢağıdakileri içermelidir:

Aykırılık veya yasadıĢı hareketleri önleyici ve tespit edici iç kontrollerin tasarlanması ve uygulanması için
sorumluluğunu kabul ettiğini göstermelidir.

Bir aykırılık veya yasadıĢı hareket sonucu olarak önemli yanıltıcı bir ifadenin var olabileceğinin risk
değerlendirmesinin sonuçlarını BS Denetçisine bildirmelidir.

BS Denetçisine, kurumu etkileyen aykırılık ve yasadıĢı hareketlere dair aĢağıdakilerle ilgili bilgilerini bildirmelidir.

11
12
13
14
15


Yönetim
Ġç Kontrolde önemli rolü olan çalıĢanlar
BS Denetçisine, çalıĢanlardan, önceki çalıĢanlardan veya düzenleyiciler tarafından bildirilmiĢ, kurumu etkileyen
aykırılık veya yasadıĢı hareket iddialarını ya da aykırılık ve yasadıĢı hareket Ģüphelerini bildirmelidir.
Eğer BS Denetçisi, somut bir aykırılık veya yasadıĢılık belirlemiĢse veya somut bir aykırılık ya da yasadıĢılık olması
ihtimali bilgisini edinmiĢse, bu meseleleri yönetimin uygun kademesine zamanında bildirmelidir.
Eğer BS Denetçisi, yönetimle ilgili veya iç kontrolde önemli rolü olan çalıĢanlarla ilgili bir somut aykırılık veya yasadıĢı bir
hareket belirlenmiĢse, bu meseleleri yetkili mercilere zaman geçirmeden iletmelidir.
BS Denetçisi, denetim esnasında dikkatini çeken düzensiz ve yasadıĢı hareketleri önleyici ve tespit edici kontrollerin
tasarımında ve iĢleyiĢinden sorumlu uygun yönetim seviyesini ve yetkili mercileri önemli zayıflıklardan haberdar
etmelidir.
BS Denetçisi, denetimi devam ettirmede kendisini etkileyen ve yasadıĢı bir hareketten veya yanıltıcı bir ifadeden
kaynaklanan istisnai bir durumla karĢılaĢırsa, böyle durumlarla ilgili yürürlükteki yasal ve mesleki sorumlulukları dikkate
almalı, sözleĢme taraflarına veya bazı durumlarda yetkili yönetime veya düzenleyici kurumlara rapor etmeyi veya
sözleĢmeden çekilmeyi düĢünmelidir.
BS Denetçisi, yönetime, yetkili mercilere, düzenleyicilere ve diğerlerine rapor edilmiĢ bir önemli aykırılık veya yasadıĢı bir
hareketle ilgili bütün iletiĢimi, planlamayı, sonuçları, değerlendirmeleri ve yorumları dosyalamalıdır.
Açıklama
16 BS Denetçisi, bir aykırılık veya yasadıĢı hareket ne demektir tanımlamak için BS Denetim Rehberi G19, Aykırılıklar ve YasadıĢı
Hareketler Bölümüne baĢvurmalıdırlar.
17 BS Denetçisi, aykırılıklar ve yasadıĢı hareketlerden kaynaklanan önemli yanıltıcı ifadeler olmamasına makul güvence
sağlamalıdır. BS Denetçisi, bir görüĢün kullanılması, test kapsamı ve iç kontrollerin kalıtsal sınırları gibi etmenlerden dolayı mutlak
güvence sağlayamaz. Bir denetim sırasında BS Denetçisinin elde edebildiği denetim kanıtı, kesin delil olmaktan ziyade ikna edici
olmalıdır.
18 Bir yasadıĢı hareketten kaynaklanan somut yanıltıcı bir ifadenin tespit edilememesi riski, bir aykırılık veya hatadan kaynaklanan
somut yanıltıcı ifadenin tespit edilememesi riskinden daha yüksektir, çünkü yasadıĢı hareketler, olayları saklamayı veya BS
Denetçisine verilen kasıtlı yalan beyanda bulunmaya uygun tasarlanmıĢ karmaĢık planları içerebilirler.
19 BS Denetçisinin kuruma dair önceki deneyimi ve bilgisi denetim sırasında BS Denetçisine yardımcı olmalıdır. Sorgulamalar
yaparken ve denetim usullerini yürütürken BS Denetçisinin geçmiĢ deneyimi tamamen göz ardı etmesi beklenmemeli. ancak belli
seviyede mesleki bir Ģüphecilik içinde bulunması beklenmelidir. BS Denetçisi, ikna edici denetim kanıtı yerine yönetimin ve yetkili
mercilerin doğru ve dürüst olduğu inancına dayanan düĢük seviyede bir denetim kanıtından tatmin olmamalıdır. ikna edici
denetim kanıtı hariç. BS Denetçisi ve denetim takımı, planlama ve tüm denetim boyunca kurumun aykırılıklar ve yasadıĢı hareket
Ģüphe edilebilirliğini tartıĢmalıdır.
17
S9 Aykırılıklar ve YasadıĢı Hareketler
20
Somut aykırılılar ve yasadıĢı hareketlerin varlığı riskini değerlendirmek için BS Denetçisi aĢağıdakileri kullanmayı düĢünmelidir:

Kurumla ilgili önceki bilgi ve deneyimi (yönetim ve yetkili mercilerin doğruluğu ve dürüstlüğü ile ilgili bilgisi dahil)

Yönetimin yaptığı soruĢturmalardan elde edilen bilgi

Yönetim açıklamaları ve iç kontrol beyanları

Denetim sırasında elde edilen diğer güvenilir bilgi

Yönetimin aykırılık ve yasadıĢı hareketlerle ilgili risk değerlendirmesi ve bu riskleri tanımlama ve risklere müdahale süreci
21
Aykırılıklar ve yasadıĢı hareketlerle ilgili daha fazla bilgi için aĢağıdaki rehberlere baĢvurmalıdır:




BS Denetim Rehberi G5, Denetim Yönetmeliği
COBIT Çerçevesi, Kontrol Hedefleri DS3, DS5, DS9, DS11 VE PO6
Sarbanes -Oxley Yasası, 2002
Yabancı Uygulamalar Yasası 1977
Yürürlük Tarihi
22 Bu BS Denetim standardı, 1 Eylül 2005 tarihinde veya sonrasında baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
18
S10 BT YönetiĢimi
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standartlarının amacı, denetim sürecinde BT yönetiĢimi alanlarında BS denetçinin ihtiyaç duyacağı standardı
oluĢturmak ve rehberlik sağlamaktır.
Standart
03
BS Denetçisi, BS iĢlevlerinin kurumun misyonu, vizyonu, değerleri, hedef ve stratejileriyle uyumlu olup olmadığını
gözden geçirmeli ve değerlendirmelidir.
04
BS Denetçisi, BS biriminin iĢ (etkililik ve etkinlik) tarafından beklenen hizmeti ve baĢarısının değerlendirilmesi hakkında
açık bir bildirime sahip olup olmadığını gözden geçirmelidir.
05
BS Denetçisi, BS kaynaklarının ve performans yönetim sürecinin etkililiğini denetlenmeli ve değerlendirmelidir.
06
BS Denetçisi, yasal, çevresel ve bilgi niteliği ve güvenlik ve emniyet gereksinimlerine uygunluğunu denetlenmeli ve
değerlendirmelidir.
07
BS Denetçisi, risk temelli bir yaklaĢım kullanarak BS birimini değerlendirmelidir.
08
BS Denetçisi, kurumun kontrol ortamını gözden geçirmeli ve değerlendirmelidir.
09
BS Denetçisi, BS ortamını olumsuz yönde etkileyebilecek riskleri gözden geçirmeli ve değerlendirmelidir.
Açıklama
10
BS Denetçisi BS Denetim Rehberi G18, BT YönetiĢimine iĢaret etmelidir.
11
BS Denetçisi, iĢ sürecini destekleyen BS iĢ ortamı risklerini gözden geçirmeli ve değerlendirmelidir. BS Denetim etkinliği, risk
yönetimi ve kontrol sistemleri geliĢimine katkı sunarak ve maruz kalınan önemli riskleri tanımlayıp değerlendirerek kuruma
destek sunmalıdır.
12
BT yönetiĢimi, kendi kendine ya da gözden geçirilen her BS iĢlevi bağlamında gözden geçirilebilir.
13
BS Denetçisi, BT yönetiĢimi hakkında daha fazla bilgi için aĢağıdaki rehberlere baĢvurabilir:

BS Denetim Rehberleri:












G5 Denetim Yönetmeliği
G6 Bilgi Sistemleri Denetimi Ġçin Önemlilik Kavramları
G12 Kurumsal ĠliĢki ve Bağımsızlık
G13 Denetim Planlamasında Risk Değerlendirmesi Kullanımı
G15 Planlama
G16 Kurum BT kontrollerine Üçüncü Tarafların Etkisi
G17 BS Denetçisinin Bağımsızlığında Denetim DıĢı Rolünün Etkisi
COBIT Yönetim Rehberleri
COBIT Çerçevesi, Kontrol Hedefleri; bu standart bütün COBIT alanları kontrol hedefleriyle iliĢkilidir
BT Yönetişimi Kurul Bilgilendirmesi 2. Basım; BT YönetiĢim Enstitüsü
Sarbanes – Oxley için BT kontrol Hedefleri, BT YönetiĢim Enstitüsü
US Sarbanes – Oxley Yasası 2002 ve diğer özel yönetmelikler ayrıca uygulanabilir
Yürürlük Tarihi
14
Bu BS Denetim standardı, 1 Eylül 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
19
S11 Denetim Planlanmasında Risk Değerlendirmesinin Kullanımı
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standartlarının amacı, denetim sürecinde risk değerlendirmesinin kullanımı için bir standart oluĢturmak ve yol
göstericilik sağlamaktır.
Standart
03
BS Denetçisi, BS Denetim planının tamamını geliĢtirmede ve BS Denetim kaynaklarının etkili dağıtımı için önceliklerin
belirlenmesinde kullanılabilecek uygun bir risk değerlendirme tekniği veya yaklaĢımı kullanmalıdır.
04
BS Denetçisi, kiĢisel denetim planlamasında, denetlenen alanla ilgili riskleri tanımlamalı ve değerlendirmelidir.
Açıklama
05
Risk değerlendirmesi, BS Denetim evrenindeki denetlenebilir birimleri kontrol etmek, gözden geçirmek ve en yüksek risklere
sahip alanları, BS yıllık planına dahil etmek için seçmede kullanılan bir tekniktir.
06
Denetlenebilir bir birim, her kurumun ve onun sistemlerinin ayrı bir parçası olarak tanımlanmıĢtır.
07
BS Denetim evreninin belirlenmesi, kurumun BT stratejik planı iĢleyiĢine ve ilgili yönetim birimleriyle yapılan görüĢmelerinin
bilgisine dayanmalıdır
08
BS Denetim planını geliĢtirmeyi kolaylaĢtırmak için risk değerlendirmesi uygulaması, en azından yılda bir kez yapılmalı ve
dosyalanmalıdır. Kurumsal stratejik planlar, amaçlar ve kurumsal risk yönetim çerçevesi uygulamaları risk değerlendirmesinin bir
parçası olarak değerlendirilmelidir.
09
BS Denetçisine, denetim projelerinin seçiminde risk değerlendirmesinin kullanımı, BS Denetim planını veya belirli bir gözden
geçirmeyi tamamlamak için gereken BS Denetim kaynaklarının miktarını belirlemek ve gerekçelendirmek için olanak tanır.
Ayrıca, BS Denetçisi, risk algılamalarına dayanarak ve risk yönetim çerçevesinin raporlamasına katkı sağlamak için gözden
geçirmelerin zamanlamasını da önceliklendirebilir.
10
Bir BS Denetçisi, gözden geçirilen alanla ilgili risklerin bir ön değerlendirmesini gerçekleĢtirmelidir. Her bir özellikli gözden
geçirme için, BS Denetim görev amaçları böyle bir risk değerlendirmesinin sonuçlarını yansıtmalıdır.
11
BS Denetçisi, gözden geçirmenin tamamlanmasından sonra, gözden geçirme bulgu ve önerileri ile denetim sonrası faaliyetleri
yansıtması için, eğer böyle bir kayıt varsa kurumun Kurumsal risk yönetiminin çerçevesinin veya risk kütüğünün güncellenmesini
sağlamalıdır.
12
BS Denetçisi, BS Denetim Rehberi G13 Denetim Planlanmasında Risk Değerlendirmesinin Kullanımı bölümüne ve BS Denetim
usulü P1 BS Risk Değerlendirmesi Ölçümü bölümüne baĢvurmalıdır.
Yürürlük Tarihi
13
Bu BS Denetim standardı, 1 Kasım 2005 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir
20
S12 Denetimin Önemliliği
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, denetim önemliliği kavramını ve bu kavramın denetim riski ile iliĢkisine dair standart
oluĢturmak ve yol göstericilik sağlamaktır.
Standart
03
BS Denetçisi, denetim usullerinin sınırı, doğası ve zamanlaması belirlenirken denetimin önemliliği ve bunun denetim
riskiyle iliĢkisini göz önünde bulundurmalıdır.
04
BS Denetçisi, kontrollerin olmaması veya zayıf olması ihtimalini veya kontrollerin olmamasının veya zayıflığının bilgi
sistemlerinde önemli hatalara veya ciddi zayıflıklara yol açıp açmadığını dikkate almalıdır.
05
BS Denetçisi, küçük kontrol hataların ve kontrollerin olmaması veya zayıf olmasının toplam etkisinin bilgi sistemlerinde
önemli hata veya ciddi zayıflıklara dönüĢüp dönüĢmediğini dikkate almalıdır.
06
BS Denetçisinin raporu, yetersiz kontrollerin olması veya kontrollerin olmaması ve kontrol hatalarının önemini ve bu
zayıflıklardan kontrol hatalarının ve ciddi zayıflıkların kaynaklanma olasılığını açıklamalıdır.
Ek Rehberlik
07
Denetim riski, BS Denetçisinin denetim bulgularına dayanarak yanlıĢ sonuçlara ulaĢması riskidir. BS Denetçisi, denetim
risklerinin üç bileĢeninin de farkında olmalıdır: Kalıtsal risk, kontrol riski ve belirleme riski. Risklerle ilgili daha ayrıntılı açıklamalar
ve bilgi için, G13, Denetim Planlamasında Risk Değerlendirmesinin Kullanımı bölümüne baĢvurunuz.
08
BS Denetçisi, denetimi planlarken ve yürütürken denetim riskini kabul edilebilir bir seviyeye indirmeye ve denetim hedeflerini
gerçekleĢtirmeye çalıĢmalıdır. Bu, BS ve ilgili kontrollerin uygun biçimde değerlendirmesiyle baĢarılır.
09
Kontrollerdeki zayıflıklar, eğer kontrollerin olmaması kontrol hedeflerinin gerçekleĢtirilmesinde makul bir güvence sağlamada
baĢarısızlıkla sonuçlanıyorsa ―önemli‖ kabul edilir.
10
Önemli olarak sınıflandırılan bir zayıflık Ģu anlama gelir:

Kontroller yerinde değildir ve/veya kontroller kullanımda değildir ve/veya kontroller yetersizdir.

Hataların artmasına sebep olur
11
12
13
14
15
16
Önemli zayıflık, önlenemeyen ve tespit edilemeyen istenmeyen olay(lar)ın düĢük olma olasılığını artıran önemli hata veya
önemli hataların bileĢkesidir.
Önemlilik ve BS Denetçisi tarafından kabul edilebilir denetim riski seviyesi arasında tersine bir iliĢki vardır; örneğin önemlilik
seviyesi ne kadar yüksekse denetim riskinin kabul edilebilirliği o kadar düĢük olur veya tam tersi söz konusudur. Bu, BS
Denetçisine denetim usullerinin doğasını, zamanlamasını ve sınırlarını belirlemesini sağlar. Örneğin, BS Denetçisi, özellikli bir
denetim usulünü planlarken önemliliği düĢük belirler ve bu sebeple denetim riski artar. BS Denetçisi, bu durumu ya kontrollerin
testlerini artırarak (kontrol riskinin değerlendirmesini azaltarak) ya da maddi doğruluk test usullerini geniĢleterek gidermek ister
(tespit etme riskinin değerlendirmesini azaltarak).
BS Denetçisi, bir kontrol hataları bileĢkesinin veya tek bir kontrol hatasının önemli bir hata mı ya da önemli bir zayıflık mı
olduğunu belirlemede azaltıcı kontrollerin etkisini ve bu tür azaltıcı kontrollerin etkin olup olmadığını değerlendirmelidir.
BS Denetçisinin önemlilik ve denetim riski değerlendirmesi, Ģartlara ve değiĢen çevreye bağlı olarak zaman zaman değiĢebilir.
BS Denetçisi, BS Denetim Rehberi G6 Bilgi Sistemleri Denetimi için Önemlilik Kavramları Rehberine baĢvurmalıdır.
Denetim önemliliği konusunda daha fazla ilgi için aĢağıdaki rehberlere baĢvurunuz:

BS Denetim Rehberi:







G2 Denetim Kanıtı Gereksinimi
G5 Denetim Yönetmeliği
G8 Denetim Dosyalaması
G9 Aykırılıklar için Denetim Varsayımları
G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı
COBIT 4.0, IT YönetiĢim Enstitüsü, 2005
Sarbanes-Oxley için IT Kontrol Hedefleri, IT YönetiĢim Enstitüsü, 2004
Yürürlük Tarihi
17 Bu BS Denetim standardı, 1 Temmuz 2006 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
21
S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standardının amacı, denetimde diğer uzmanların çalıĢmalarını kullanan BS Denetçileri için bir standart
oluĢturmak ve yol göstericilik sağlamaktır.
Standartlar
03
BS Denetçisi, uygun olan yerlerde denetim için diğer uzmanların çalıĢmalarını kullanmayı düĢünmelidir.
04
BS Denetçisi, denetim görevinden önce diğer uzmanların bağımsızlık ve kalite kontrol süreçleri, ilgili deneyim,
kaynaklar, uzmanlıklar, mesleki nitelikler gibi konuları değerlendirmeli ve tatmin olmalıdır.
05
BS Denetçisi, denetimin bir parçası olarak diğer uzmanların çalıĢmalarını gözden geçirmeli, değerlendirmeli ve ne
derece kullanılacaklarına ve ne kadar güvenileceklerine karar vermelidir.
06
BS Denetçisi, diğer uzmanların çalıĢmalarının, BS Denetçisine güncel denetim hedefleri hakkında sonuca varmaya
sağlamada yeterli ve tam olup olmadığını saptamalı ve sonuçlandırmalıdır. Varılan sonuç açık bir biçimde
belirtilmelidir.
07
BS Denetçisi, diğer uzmanların yeterli ve uygun denetim kanıtı sağlamadığı yer ve durumlarda yeterli ve uygun denetim
kanıtı elde etmek amacıyla ek test usulleri uygulamalıdır.
08
BS Denetçisi, ek test usulleri kullanılarak gereken kanıtın elde edilemediği durumlarda uygun denetim görüĢü
sağlamalı ve kapsamını sınırlandırmalıdır.
Ek Rehberlik
09
BS Denetçisi, gerçekleĢtirilecek denetim iĢini veya denetimin kalitesindeki olabilir kazanımları zayıflatabilecek kısıtlamaların
olduğu durumlarda diğer uzmanların çalıĢmalarını kullanmayı düĢünmelidir. Bunlara örnek olarak, gerçekleĢtirilecek iĢin teknik
doğası tarafından gerek duyulan bilgi, denetim kaynağı kıtlığı ve zaman kısıtlamaları verilebilir.
10
Bir ―uzman‖, BS Denetim takımı ya da üst yönetim tarafından, dıĢ muhasebe firmasından, bir yönetim danıĢmanlığı
firmasından, bir BT uzmanı ya da denetim alanındaki bir uzman atanarak bilgi sistemi denetçisi olabilir.
11
Bir uzman, kurum ―içinden‖ de, kurum ―dıĢından‖ da olabilir. Eğer bir uzman kurumun diğer bir bölümüyle de ilgiliyse,
uzmanın raporuna güven duyulabilir. Bazı durumlarda bu, BS Denetçisinin destekleyici belgeleme ve çalıĢma belgelerine eriĢimi
olmasa bile BS Denetim kapsamının duyduğu gereksinimi azaltabilir. BS Denetçisi, böyle durumlarda görüĢ belirtirken dikkatli
olmalıdır.
12
BS Denetçisi, diğer uzmanların bütün çalıĢma belgelerine, destekleyici belgelere ve raporlarına -yasal açıdan sakınca olmadığı
sürece- eriĢim hakkına sahip olmalıdır. Yasal açıdan sakınca bulunan ve bu yüzden eriĢimin olmadığı durumlarda BS Denetçisi
diğer uzmanın çalıĢmalarına güven ve kullanım sınırları uygun biçimde belirlemeli ve karar vermelidir.
13
BS Denetçisinin, diğer uzman raporunun kullanımı hakkındaki görüĢ, iliĢkililik ve yorumları BS Denetçisinin raporunun bir
parçasını oluĢturmalıdır.
14
BS Denetçisi, denetim hedeflerine ulaĢmak için BS Denetçisinin yeterli, güvenilir, ilgili ve faydalı kanıtlar elde etmesi gerektiğini
anlatan BS Denetim Standardı S6 Denetim ĠĢinin Yürütülmesi bölümüne baĢvurmalıdır.
15
BS Denetçisi, denetimi yapmak için gereken yeteneklere veya diğer uzmanlıklara sahip değilse diğer uzmanlardan yardım
almalıdır; bununla birlikte, BS Denetçisi yürütülen iĢle ilgili bilgi sahibi olmalıdır fakat kendisinden bir uzmanınkine denk bilgi
sahibi olması beklenmemelidir.
16
BS Denetçisi, BS Denetim Rehberi G1 Diğer Denetçilerin ve Uzmanların ÇalıĢmalarının Kullanımı bölümüne baĢvurmalıdır.
17
Diğer denetçilerin ve uzmanların çalıĢmalarının kullanımı konusunda detaylı bilgi için aĢağıdaki rehberlere baĢvurunuz:
 BS Denetim Rehberleri





G5 Denetim Yönetmeliği
G8 Denetim Belgelendirmesi
G2 Denetim Kanıt Gerekliliği
G10 Denetim Örneklemesi
G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı
 COBIT 4.0, IT Yönetişim Enstitüsü, 2005
 Sarbanes-Oxley için IT Kontrol Hedefi, IT YönetiĢim Enstitüsü, 2004
Yürürlük Tarihi
18
Bu BS Denetim standardı, 1 Temmuz 2006 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
22
S14 Denetim Kanıtı
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu BS Denetim Standartlarının amacı, BS Denetçisi tarafından elde edilecek denetim kanıtını nelerin oluĢturduğu ve bu kanıtın
nicelik ve niteliği ile ilgili standart oluĢturmak ve yol göstericilik sağlamaktır.
Standart
03
BS Denetçisi, denetim sonuçlarının dayandığı makul çıkarımlara temel olacak yeterli ve uygun denetim kanıtı
sağlamalıdır.
04
BS Denetçisi, denetim sırasında elde edilen denetim kanıtının yeterliliğini değerlendirmelidir.
Açıklama
Uygun Kanıt
05
Denetim kanıtı:
 Denetçi tarafından kullanılan usulleri içerir
 BS Denetçisi tarafından kullanılan usullerin sonuçlarını içerir
 Denetimi desteklemek için kullanılan kaynak belgeleri (elektronik veya basılı olarak), kayıtları, güçlendirici bilgileri içerir
 Denetim iĢinin bulgu ve sonuçlarını içerir
 ĠĢin yapıldığını ve yürürlükteki yasalara, düzenlemelere ve politikalara uygunluğunu gösterir
06
BS Denetçisi, kontrol testlerinden denetim kanıtı elde ederken değerlendirilen kontrol riski seviyesini desteklemek amacıyla
denetim kanıtının tamlığını, dikkate almalıdır.
07
Denetim kanıtı uygun bir Ģekilde tanımlanmıĢ, çapraz iliĢkilendirilmiĢ ve kataloglanmıĢ olmalıdır
08
Denetim kanıtının kaynağı, doğası (yazılı, sözlü, görsel, elektronik, gibi) ve asıllık (dijital ve el imzaları, mühürler, vb.) gibi
özellikler güvenilirlik değerlendirmesi sırasında göz önünde bulundurulmalıdır.
Güvenilir Kanıt
09
Genel olarak, denetim kanıtı güvenilirliği aĢağıdaki durumlarda daha büyüktür :

Sözlü ifadelerden ziyade yazılı biçimde olması

Bağımsız kaynaklardan elde edilmesi

Denetlenen kurumca sağlanmasındansa BS Denetçisi tarafından elde edilmiĢ olması

Bağımsız biri tarafından onaylı olması

Bağımsız biri tarafından saklanmıĢ olması
10
BS Denetçisi, denetim hedeflerini ve denetim risklerini karĢılayacak gerekli kanıtları elde ederken maliyeti en uygun olan araçları
düĢünmelidir. Fakat gerekli bir iĢlemi atlamak için maliyet veya zorluk geçerli bir özür değildir.
11
Denetim kanıtı elde etme usulleri, denetim konusuna bağlı olarak değiĢir (denetimin doğası, zamanlaması, mesleki yargılar vb.).
BS Denetçisi, denetim hedefleri için en uygun usulü seçmelidir.
12
BS Denetçisi, denetim kanıtını aĢağıdaki biçimlerde elde edebilir:

SoruĢturma

Gözlem

AraĢtırma ve doğrulama

Yeniden gerçekleĢtirme

Yeniden ölçüm yapma

Hesaplama

Analitik usuller

Genel kabul görmüĢ diğer yöntemler
13
BS Denetçisi, güvenilirliği ve daha fazla doğrulanabilirliği değerlendirmek için bilginin elde edildiği kaynağı ve özelliklerini
dikkate almalıdır.
Yeterli Kanıt
14
Kanıt denetim hedefi ve kapsamında bütün önemli soruları destekliyorsa yeterli olarak düĢünülebilir.
15
Denetim kanıtı, bağımsız ve yetkin bir tarafın testleri yeniden gerçekleĢtirdiğinde aynı sonuçları elde etmesini sağlayacak
derecede nesnel ve yeterli olmalıdır. Kanıt, konunun ve iliĢkili olduğu risklerin önemine uygun olmalıdır.
16
Yeterlilik, denetim kanıtı miktarının ölçüsüyken uygunluk, denetim kanıtının niteliğinin ölçüsüdür ve bu ikisi birbiriyle karĢılıklı
iliĢki içindedir. Bu bağlamda, kurumdan elde edilen bilgi BS Denetçisi tarafından denetim süreçlerini gerçekleĢtirmek için
kullanıldığı zaman BS Denetçisi bilginin doğruluğu ve bütünlüğüne gereken vurguyu yapmalıdır.
17
BS Denetçisi, yeterli denetim kanıtının elde edilemediğine inandığı durum ve yerlerde, bu gerçeği denetim sonuçlarıyla tutarlı bir
Ģekilde açıklamalıdır.
23
S14 Denetim Kanıtı (Devamı)
Delillerin Korunması ve Saklanması
18
Denetim kanıtı, yetkisiz eriĢimlere ve değiĢtirmelere karĢı güvenlik altına alınmalıdır.
19
Denetim kanıtı, denetim iĢi tamamlandıktan sonra, yürürlükteki yasaların, düzenlemelerin ve politikaların öngördüğü sürede ve
biçimde korunmalıdır.
Referans
20
Denetim kanıtı konusunda detaylı bilgi için aĢağıdaki rehberlere baĢvurunuz:

BS Denetim Standardı S6, Denetim ĠĢinin Yürütülmesi

BS Denetim Rehberi G2, Denetim Kanıtı Gerekliliği

BS Denetim Rehberi G8 Denetim Belgelendirmesi

COBIT Kontrol Hedefi ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi ve ME3 Düzenlemelere Uygunluğun Sağlanması
Yürürlük Tarihi
21
Bu BS Denetim standardı, 1 Temmuz 2006 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
24
S15 BT kontrolleri
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu ISACA Standardının amacı, BT kontrolleri ile ilgili standart oluĢturmak ve yol göstericilik sağlamaktır.
Standart
03
BS Denetçisi, kurumun iç kontrol ortamının bütünleĢik bir parçası olan BT kontrollerini izlemeli ve değerlendirmelidir.
04
BS Denetçisi, BT kontrollerinin tasarımı, uygulanması, iĢletimi ve geliĢtirilmesi ile ilgili öneriler sağlayarak yönetime
yardımcı olmalıdır.
Açıklama
05
Yönetim, bir kurumun, BT kontrollerini de içeren iç kontrol ortamından sorumludur. Bir iç kontrol çevresi, iç kontrol sisteminin
temel hedeflerinin baĢarılması için disiplin, çerçeve ve yapı sağlar.
06
COBIT, ―istenmeyen olayların tespit edilmesi, önlenmesi, düzeltilmesi ve iĢ hedeflerinin baĢarılmasına makul güvence sağlamak
için tasarlanmıĢ politikalar, usuller, uygulamalar ve kurumsal yapılar‖ gibi kontrolleri tanımlar. Ayrıca, COBIT, kontrol hedefi
ifadesini ―Belirli bir süreçte, kontrol usullerini kullanarak başarılması arzu edilen sonuç veya amaç ‖ olarak tanımlar.
07
BT kontrolleri, BT sisteminin edinilmesi, uygulanması, sunumu, desteklenmesi ve hizmetleri üzerindeki kontrolleri gösteren
yaygın BT kontrolleri, ayrıntılı BT kontrolleri ve uygulama kontrollerini kapsayan genel kontrollerden oluĢur
08
Genel BT kontrolleri, kurumun BT sisteminin ve altyapısının tüm iĢleyiĢiyle ve otomatik çözümler (uygulamalar) kümesi ile ilgili
riskleri en aza indiren kontrollerdir.
09
Uygulama kontrolleri, uygulamalar içerisinde gömülü kontroller kümesidir.
10
Yaygın BT kontrolleri, BT çevresini izlemek ve yönetmek için tasarlanmıĢ ve bu sebeple BT ile ilgili bütün faaliyetleri etkileyen
genel BT kontrolleridir. Bu kontroller, BT izlemesine ve yönetimine odaklanmıĢ genel kontrollerin alt kontrol kümesidir.
11
Ayrıntılı BT kontrolleri, uygulama kontrollerine ilaveten yaygın BT kontrollerinde kapsanmayan genel BT kontrollerinden oluĢur.
12
BS Denetçisi, BT kontrol süreçlerinin durumuyla ilgili güvence sağlamak amacıyla, BS Denetim kaynaklarının etkili dağılımı için
öncelikleri belirlemede ve tüm denetim planının geliĢtirilmesinde uygun bir risk değerlendirme tekniği ya da yaklaĢımı
kullanmalıdır. Kontrol süreçleri, risklerin, risk yönetimi süreciyle oluĢturulmuĢ risk toleransları içerisinde bulunmasını sağlamak
amacıyla tasarlanmıĢ kontrol çevresinin bir parçası olan politikalar, usuller ve etkinliklerden oluĢur.
13
BS Denetçisi, BT kontrollerini bilgisayar aracılığıyla gözden geçirirken seçici denetim kanıtlarını toplama ve sürekli olarak BS
Denetçisine sistem güvenilirliğini izleme olanağı sunan sürekli güvencenin kullanımında veri analiz tekniklerinin kullanımını
düĢünmelidir.
14
Kurumlar üçüncü tarafları kullandıklarında bu taraflar kurumun kontrollerinde ve ilgili kontrol hedeflerinin baĢarılmasında temel
unsur haline gelebilir. BS Denetçisi, BT çevresi, ilgili kontroller ve BT kontrol hedefleriyle iliĢkili olarak üçüncü tarafların yürüttüğü
rolü değerlendirmelidir.
15
AĢağıdaki ISACA ve BT YönetiĢim Enstitüsü ® (ITGI™) Rehberlerine, IT kontrolleriyle ilgili ayrıntılı bilgi için baĢvurulmalıdır:

Rehber G3 Bilgisayar Destekli Denetim Tekniklerinin (BDDT) Kullanımı

Rehber G11 Yaygın BS kontrollerinin Etkisi

Rehber G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı

Rehber G15 Planlama

Rehber G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi

Rehber G20 Raporlama

Rehber G36 Biyometrik Kontroller

Rehber G38 EriĢim Kontrolleri

COBIT çerçevesi ve kontrol hedefleri
Yürürlük Tarihi
16
Bu BS Denetim standardı, 1 ġubat 2008 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
25
S16 E-Ticaret
GiriĢ
01
02
Koyu biçimde tanımlanan zorunlu ISACA standartları, ilgili rehberlerle birlikte temel ilkeleri ve ana usulleri içerir.
Bu ISACA Standardının amacı, e-ticaret ortamı gözden geçirmeleri için standart oluĢturmak ve yol göstericilik sağlamaktır.
Standart
03
BS Denetçisi, e-ticaret iĢlemlerinin düzgün biçimde kontrol edilmesini sağlamak için e-ticaret ortamlarını gözden
geçirirken uygulanan kontrolleri ve risk çözümlemelerini değerlendirmelidir.
Açıklama
04
E-ticaret, kurumların müĢterileriyle, tedarikçilerle ve diğer dıĢarıdan iĢ ortaklarıyla internet aracılığıyla elektronik olarak iĢ
yaptıkları süreçler olarak tanımlanır. Dolayısıyla e-ticaret iĢten-iĢe (B2B) ve Ģirketten-müĢteriye (B2C) e-ticaret modellerini içerir.
05
BS Denetçisi, tüm BS Denetim planını geliĢtirirken e-ticaret ortamlarını içeren uygun bir risk değerlendirme tekniği veya
yaklaĢımı kullanmalıdır.
06
BS Denetçisi, denetçilere sistem güvenilirliğini sürekli izleme olanağı veren ve sürekli güvence kullanımını da içeren, e-ticaret
faaliyetlerini gözden geçirirken bilgisayar yardımıyla seçici denetim kanıtı toplama olanağı da veren veri analiz tekniklerinin
kullanımını düĢünmelidir.
07
E-ticaretin kontrol ve risk yönetimi uygulamalarını anlamak için gereken beceri ve bilgi seviyesi, kurumun e-ticaret faaliyetlerinin
karmaĢıklığına göre değiĢir.
08
BS Denetçisi, denetime baĢlamadan önce, sonuçların uygun bir bağlamda değerlendirilmesi amacıyla, denetime baĢlamadan
önce e-ticaret uygulaması tarafından desteklenen iĢ sürecinin kritikliğini ve doğasını anlamalıdır.
09
AĢağıdaki rehberlere e-ticaretle ilgili olarak ayrıntılı bilgi için baĢvurulmalıdır:

Rehber G21 Kurumsal Kaynak Planlaması (ERP) Sistem Ġncelenmesi

Rehber G22 ġirketten-MüĢteriye (B2C) E-ticaret Ġncelenmesi

Rehber G24 Ġnternet Bankacılığı

Rehber G25 Sanal KiĢisel Ağların Ġncelenmesi

Rehber G33 Ġnternet Kullanımı Üzerine Genel Varsayımlar

P6 Güvenlik Duvarı Usulü

COBIT çerçevesi ve kontrol hedefleri
Yürürlük Tarihi
10
Bu BS Denetim standardı, 1 ġubat 2008 tarihinde baĢlayan bütün bilgi sistemleri denetimlerinde geçerlidir.
26
BT Denetim ve Güvence Rehberleri
BT Denetim ve Güvence Rehberleri Listesi
BT Denetim Rehberleri Sıralı Listesi
G1 Diğer Uzmanların ÇalıĢmalarının Kullanımı
G2 Denetim Kanıtı Gereksinimi
G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT)
G4 BS Faaliyetlerinin DıĢarıdan Sağlanması
G5 Denetim Yönetmeliği
G6 Bilgi Sistemlerinin Denetimi Ġçin Önemlilik Kavramları
G7 Zorunlu Mesleki Özen
G8 Denetim Kanıtlarının Belgelendirmesi
G9 YasadıĢı Etkinlikler ve Aykırılıklar için Denetim Varsayımları
G10 Denetim Örneklemi
G11Yaygın BS kontrollerinin Etkisi
G12 Örgütsel iliĢki ve Bağımsızlık
G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı
G14 Uygulama Sistemleri Denetimi
G15 Planlamanın Gözden Geçirilmesi
G16 Kurumun BT kontrollerinde Üçüncü Tarafların Etkisi
G17 BT Denetim ve Güvence Uzmanının Bağımsızlığı Üzerinde Denetim DıĢı Rolünün Etkisi
G18 BT YönetiĢimi
G20 Raporlama
G21 Kurumsal Kaynak Planlaması (ERP) Sistemler Denetimi
G22 E-ticarette ĠĢten-Tüketiciye (B2C) Faaliyetlerinin Denetlenmesi
G23 Sistem GeliĢimi YaĢam Döngüsü (SDLC) Gözden Geçirmelerinin Denetimi
G24 Ġnternet Bankacılığı
G25 Sanal Özel Ağların Denetimi
G26 ĠĢ Sürecinin Yeniden Yapılanması (BPR) Proje Denetimi
G27 Kablosuz EriĢim Araçları
G28 Adli BiliĢim
G29 Uygulama Sonrası Ġnceleme
G30 Yeterlilik
G31 KiĢisel Bilginin Gizliliği
G32 BT Perspektifinden ĠĢ Süreklilik Planının (BCP)Denetimi
G33 Ġnternet Kullanımı Hakkında Genel Varsayımlar
G34 Sorumluluk, Yetki ve Hesap Verme
G35 Denetim Sonrası Ġzleme Faaliyetleri
G36 Biyometrik Kontroller
G37 Konfigürasyon Yönetim Süreci
G38 EriĢim Kontrolleri
G39 BT Örgütlenmesi
G40 Güvenlik Yönetim Sistemi Denetimi
G41 Güvenlik Yarırımlarının Geri DönüĢü
G42 Sürekli Güvence
27
BT Denetim ve Güvence Rehberleri
G1 Diğer Uzmanların ÇalıĢmalarının Kullanımı
1.
1.1
1.1.1
1.1.2
ARKA PLAN
Standartlarla Bağlantı
S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı standardı ―BS Denetçisi, uygun olan yerlerde denetim için diğer
uzmanların çalıĢmalarını kullanmayı düĢünmelidir‖ Ģeklinde ifade eder.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı: ―Denetim amaçlarına ulaĢmak için denetim boyunca BS Denetçisi,
yeterli, güvenilir ve iliĢkili kanıtları elde etmek durumundadır‖ Ģeklinde ifade eder.
1.2
1.2.1.
COBIT Bağlantısı
ME2.5, BS Denetçisi ―Ġç kontrollerin etkinliği ve bütünlüğüyle ilgili gerektiğinde üçüncü taraf denetimleriyle sağlanan
güvenceden daha fazlasını sağlamalıdır. Bu tür bir denetimler, kurumun uygunluk birimi veya yönetimin isteği üzerine iç
denetim veya görevlendirilen dıĢ denetçiler ve danıĢmanlar yada sertifikalandırma organları tarafından yürütülebilir.
Denetimi yürüten kiĢilerin niteliklerinin, örneğin CISA sertifikası olması sağlanmalıdır.
1.3
1.3.1
Rehber Gereksinimi
MüĢterilerin ya da tedarikçilerin karĢılıklı bağımlılık süreci ve ana faaliyetler dıĢındakilerin dıĢarıdan sağlanması bilgi sistemi
denetçisinin (iç veya dıĢ) sıklıkla diğer bağımsız birim veya kurumlar tarafından denetlemiĢ olduğu alanın parçalarının kontrol
edilmesi ve denetlenmesini ifade eder. Bu rehber, yukarıdaki durumlarda BS Denetçisinin standartlarla uyumunu nasıl
sağlaması gerektiğini ortaya koymaktadır. Bu rehbere uymak zorunlu değildir, ancak BS Denetçisi bu rehberden sapmaları
gerekçelendirmeye hazırlıklı olmalıdır.
BS Denetçileri, denetimin kalitesinde denetim görevinin baĢarılması ve potansiyel kazanımları zayıflatacak sınırlamalar
bulunduğu zaman denetimde diğer uzmanların çalıĢmalarını kullanmayı düĢünmelidir. Bunlara örnekler, yerine getirilecek
görevin özelliklerinin teknik bilgi gerektirmesi, denetim kaynaklarının kıtlığı, denetlenen özel alanlarda sınırlı bilgiye sahip
olmasıdır. Bir ―uzman‖, bir dıĢ denetim Ģirketinin BS Denetçisi, yönetim danıĢmanı veya BS Denetim takımı veya üst yönetim
tarafından atanmıĢ, denetim bölgesinde bir BT uzmanı veya sadece uzman olabilir. Uzman, nesnellik ve bağımsızlığını
koruduğu sürece, bir kuruma içten veya dıĢtan denetim yapabilir.
1.3.2
2
DENETĠM YÖNETMELĠĞĠ
2.1
2.1.1
Diğer Uzmanların ÇalıĢmalarına EriĢim Hakları
BS Denetçisi, diğer uzmanların çalıĢmalarının BS Denetim hedefleriyle ilgili olduğu durumlarda, denetim yönetmeliği veya
hizmet sözleĢmesinde BS Denetçisinin bu çalıĢmalara eriĢim hakkı tanımlanmalıdır.
3
PLANLAMA
3.1
3.1.1
Planlama Varsayımları
BS Denetçisi, denetimi gerçekleĢtirmek için gerekli beceri ve uzmanlığının olmadığı durumlarda, diğer uzmanlardan uzman
yardımı araĢtırmalıdır; bununla birlikte, BS Denetçisi gerçekleĢtirilen iĢle ilgili bilgi sahibi olsa da, kendisinden bir uzmanınkine
eĢdeğer bir bilgi sahipliği beklenmemelidir.
BS Denetçisi, BS Denetimi diğer uzmanların çalıĢmalarının kullanımını gerektirdiği zaman, BS Denetimini planlarken onların
faaliyetlerini ve BS Denetim hedeflerine olan etkilerini dikkate almalıdır. Planlama iĢlemi Ģunları içermelidir:
3.1.2



Diğer uzmanların çalıĢmalarının bağımsızlığının ve tarafsızlığının değerlendirilmesi

Gereken gözden geçirme seviyesinin tanımlanması
Mesleki uzmanlıklarının ve niteliklerinin değerlendirilmesi
ÇalıĢmanın kapsamı, yaklaĢımı, zamanlaması ve oluĢturulan çalıĢma kağıtlarında gerekli özenin gösterildiğini ve
iĢin kalan kanıtlarının değerlendirilmesini kapsayan kalite kontrol süreçlerinin anlaĢılmasını sağlamalı
3.2
3.2.1
Bağımsızlık ve Tarafsızlık
Seçme ve atama iĢlemleri, kurumsal durum, raporlama hattı ve yönetim uygulamalarıyla ilgili öneriler diğer uzmanların
bağımsızlığının ve tarafsızlığının göstergeleridir
3.3
3.3.1
Mesleki Uzmanlık
Diğer uzmanların mesleki uzmanlığı değerlendirilirken nitelikleri, deneyimleri, becerileri ve kaynakları göz önünde
bulundurulmalıdır.
3.4
3.4.1
Görevin Kapsamı ve YaklaĢım
Görev kapsamı ve yaklaĢımı, diğer uzmanların yazılı denetim yönetmeliği, iĢ tanımı veya sözleĢme ile kanıtlanmalıdır.
3.5
3.5.1
Zorunlu Gözden Geçirme Seviyesi
Gereken denetim kanıtının doğası, zamanlaması ve kapsamı diğer uzmanların çalıĢmalarının kapsamına ve önemine bağlı
olacaktır. BS Denetçisinin planlama süreci, BS Denetim hedeflerini etkin biçimde baĢarmak için yeterli güvenilirlikte ilgili ve
faydalı denetim kanıtını sağlamada gerekli olan denetim seviyesini tanımlamalıdır. BS Denetçisi diğer uzmanların nihai
raporlarını, denetim program(lar)ını ve denetim çalıĢma kağıtlarını incelemelidir. BS Denetçisi ayrıca diğer uzmanın
çalıĢmasıyla ilgili ek test yapmanın gerekli olup olmadığını da belirlemelidir.
28
G1 Diğer Uzmanların ÇalıĢmalarının Kullanımı
4.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
4.1
4.1.1
Diğer Uzmanların ÇalıĢma Kâğıtlarının Gözden Geçirilmesi
BS Denetçisi, diğer uzman tarafından oluĢturulmuĢ çalıĢma kâğıtlarının tamamına, dosyalarına ve raporlarına, yasal bir engel
olmayan durumlarda eriĢim hakkına sahip olmalıdır.
BS Denetçisi, yasal açıdan sakınca bulunan ve bu yüzden eriĢimin olmadığı durumlarda diğer uzmanın çalıĢmalarına güven
ve kullanım sınırlarını uygun Ģekilde saptamalı ve sonuçlandırmalıdır.
BS Denetçisi, diğer uzmanların çalıĢma kâğıtlarını gözden geçirirken, diğer uzmanın çalıĢmasının uygun bir Ģekilde
planlandığını, denetlendiğini, belgelenip incelendiğini, denetim kanıtının yeterli ve uygun olduğunu ve uzmanın çalıĢmasının
kullanım ve güvenilirlik sınırını onaylamak durumundadır. Ġlgili mesleki standartlarla uyumluluğu da değerlendirmelidir. BS
Denetçisi diğer uzmanların çalıĢmasının, BS Denetçisinin mevcut denetim amaçları üzerinde sonuçlara varabilmesine ve bu
sonuçları belgelendirebilmesine olanak tanımak amacıyla yeterli ve tamamlanmıĢ olup olmadığını değerlendirmelidir.
BS Denetçisi, diğer uzmanların çalıĢma kâğıtlarının değerlendirmesine dayanarak, diğer uzmanların çalıĢmalarının yeterli ve
uygun denetim kanıtı sağlamadığı yer ve durumlarda, yeterli ve uygun denetim kanıtı elde etmek için ek test süreçleri
uygulamalıdır.
BS Denetçisi, ek test usulleri kullanılarak yeterli ve uygun denetim kanıtı elde edilemeyen durumlarda uygun denetim sonucu
sağlamalı ve kapsamını sınırlamalıdır.
4.1.2
4.1.3
4.1.4
4.1.5
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
Diğer Uzmanların Rapor/Raporlarının Gözden Geçirilmesi
BS Denetçisi, diğer uzmanların nihai raporları üzerinde, denetim yönetmeliğinde, iĢ tanımlarında ve sözleĢmede tanımlanan
kapsamın veya görev yönergesinin yerine getirilip getirilmediğini, diğer uzmanlar tarafından kullanılan varsayımların
tanımlanmıĢ olup olmadığını ve rapor edilen bulguların ve sonuçların yönetim tarafından kabul edilip edilmediğini onaylamak
amacıyla yeterli inceleme yapmalıdır
Ġç kontrol sisteminin temel sorumluluğunun tanımlanmasında, denetlenen kurumların kendi raporlarını [BS Denetçisine]
sağlaması yönetim için uygun olabilir. BS Denetçisi, böyle bir durumda yönetimin ve uzmanın raporlarını birlikte dikkate
almalıdır.
BS Denetçisi, diğer uzmanın raporunun faydalılık ve uygunluk durumunu değerlendirmek ve diğer uzmanlar tarafından
raporlanan her önemli bulguyu dikkate almalıdır. Diğer uzmanın bulgularını ve sonuçlarını tüm denetim hedeflerine etkisini
değerlendirmek ve tüm denetim hedeflerini gerçekleĢtirmek için gerekli ek çalıĢmalara karar vermek BS Denetçisinin
sorumluluğudur.
Eğer bir uzman kurumun diğer bir bölümüyle ilgili de görevlendirilmiĢse, kanaati diğer uzmanın raporunda yer alabilir. Bazı
durumlarda bu, BS Denetçisi, destekleyici belgelere ve çalıĢma kağıtlarına eriĢim sahibi olmasa bile, BS Denetim kapsamına
duyulan ihtiyacı azaltabilir. BS Denetçisi, böyle durumlarda kanaat edinirken dikkatli olmalıdır.
BS Denetçisinin uzman raporlarının uyarlanabilirliğiyle ve iliĢkisiyle ilgili görüĢ ve yorumları, eğer uzmanın raporundan BS
Denetçisi görüĢünü Ģekillendirirken yararlanmıĢ ise, BS Denetçisinin raporunun bir bölümünü oluĢturmalıdır.
4.2.6
DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ
4.3
4.3.1
Önerilerin Uygulanması
BS Denetçisi, uygun olan durumlarda diğer uzmanların yönetim tarafından uygulanan önerilerinin kapsamını
değerlendirmelidir. Böyle bir durumda, diğer uzmanlar tarafından tanımlanan konularda yönetimin belli bir zaman diliminde
herhangi bir iyileĢtirme yapıp yapmadığı ve yaptıysa bu iyileĢtirmenin mevcut durumu da belirtilmelidir.
5
5.1
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimleri için 1 Haziran 1998 tarihinden itibaren geçerlidir. Rehber incelenmiĢ ve güncellenmiĢtir,
geçerlilik tarihi 1 Mart 2008‘dir.
29
G2 Denetim Kanıtı Gereksinimi
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak
için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların
uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.
1.1.2
S9 Aykırılıklar ve YasadıĢı Hareketler Standardı: ―BS Denetçisi, yeterli ve uygun denetim kanıtı elde etmelidir. Bunun
amacı yönetimin veya kurumun içindeki diğer kiĢilerin herhangi bir aykırılık ve yasadıĢı hareketle ilgili kesin veya
Ģüphe ettikleri bilgileri olup olmadığını belirlemektir‖. Ģeklinde ifade eder
S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı Standardı: ―BS Denetçisi, ilave test usulleri kullanılarak gereken kanıtın
elde edilemediği durumlarda uygun denetim kanaati sağlamak ve sınırlamayı kapsama dahil etmelidir ‖. Ģeklinde
ifade eder.
S14 Denetim Kanıtı Standardı: ―BS Denetçisi, denetim sonuçlarını dayandıracağı mantıklı sonuçlara varmak için
yeterli ve uygun denetim kanıtı elde etmelidir. BS Denetçisi, denetim sırasında elde edilen denetim kanıtının
yetkinliğini değerlendirmek durumundadır‖. Ģeklinde ifade eder.
P7 Aykırılıklar ve YasadıĢı Hareketler Usulü bildirimi, ―Düzensizlikleri belirlemek veya önlemek BS Denetçisinin
doğrudan sorumluluğu olmasa da BS Denetçisi aykırılıkların olabilme riskini düĢünmelidir. Planlama sırasında
kullanılan risk analiz sonuçları ve diğer usuller iĢ sırasındaki süreçlerin zamanlaması, sınırları ve doğasını
belirlemede kullanılmalıdır.‖ Ģeklinde ifade eder.
1.1.3.
1.1.4.
1.1.5.
1.2.
1.2.1.
COBIT Bağlantısı
ME2.3 Kontrol Ayrıcalıkları bildirimine göre: ―Bütün kontrol ayrıcalıklarıyla ilgili bilgileri kaydedin ve temel gerekçelerin
analizini ve düzeltici etkinliklere geçilmesini sağlayın. Yönetim, hangi ayrıcalıkların sorumlu kiĢiye iletileceğine
ve hangi istisnaların kaldırılacağına karar vermekten sorumludur. Yönetim, etkilenen tarafları bilgilendirmekten
sorumludur.
1.3.
1.3.1.
Rehber Gereksinimi
Bu Rehberin amacı, BS Denetçisine yeterli ve uygun denetim kanıtı elde etmesi için öncülük etmek ve denetim
sonuçlarını dayandıracağı mantıklı sonuçlar çıkarmasını sağlamaktır.
Bu rehber BS Denetim standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standardın
uygulamasının nasıl sağlayacağı konusunda bunu göz önünde bulundurmak, uygulanması sırasında mesleki yargılara
varmak ve herhangi bir sapmayı gerekçelendirmek durumundadır.
1.3.2.
2.
Planlama
2.1.
2.1.1.
2.1.2.
Denetim Kanıtı ÇeĢitleri
Uygun, güvenilir ve yeterli kanıtın tanımı için Standart S14‘teki yorum bölümüne baĢvurunuz.
BS Denetçisi, BS denetimini planlarken toplanacak denetim kanıtının türünü, denetim amacını gerçekleĢtirmek
amacıyla denetim kanıtı olarak kullanımını ve değiĢen güvenilirlik seviyelerini dikkate almak durumundadır. Göz
önünde bulundurulacak Ģeyler arasında denetim kanıtını sağlayanın bağımsızlığı ve nitelikleri de vardır. Örneğin,
bağımsız üçüncü bir taraftan gelen onaylayıcı bir denetim kanıtı, denetlenen kurumdan gelen bir denetim kanıtından
daha güvenilir olabilir. Fiziksel denetim kanıtı genel olarak bir bireyin sunumlarından daha güvenilirdir.
BS Denetçisi, bağımsız bir üçüncü taraf tarafından kontrollerin testinin tamamlanmıĢ olup olmadığını ve onaylanıp
onaylanmadığını ve bu teste güvenilip güvenilemeyeceğini göz önünde bulundurmalıdır.
BS Denetçisinin kullanmayı düĢünmesi gereken çeĢitli denetim kanıtları aĢağıdakileri de içerir:
2.1.3.
2.1.4.
2.1.5.
2.1.6.
2.1.7.
2.1.8.1




Gözlemlenen süreçler ve fiziksel maddelerin varlığı


Kurum dıĢı depolama alandaki araçların envanteri






Veri çıkarım sonuçları



Yazılı politika ve usuller
Belgesel denetim kanıtı
Sunumlar
Analiz
Gözlemlenen süreçler ve fiziksel maddelerin varlığı, faaliyetlerin gözlemlenmesini, varlıkları ve BS iĢlevselliğini
içerebilir. Örneğin:
ĠĢletimdeki bilgisayar odası güvenlik sistemi
Kağıtta veya diğer araçlarda kaydedilmiĢ yazılı denetim kanıtı aĢağıdakiler içerebilir:
ĠĢlem kayıtları
Program listelemeleri
Faturalar
Faaliyet ve kontrol kayıtları
Sistem geliĢim belgeleri
Denetlenen aĢağıdaki çıktılar denetim kanıtı olabilir:
Sistem akıĢ çizelgeleri
Yazılı ve sözlü anlatımlar
KarĢılaĢtırmalar, canlandırmalar, hesaplamalar ve akıl yürütmeler yoluyla çözümlenen sonuçlar denetim kanıtı olarak
kullanılabilir. Örnekler:
30
G2 Denetim Kanıtı Gereksinimi


Diğer kurumlara veya geçmiĢ dönemlere göre BS performansının değerlendirilmesi
Uygulamalar, iĢlemler ve kullanıcılar arasında hata oranlarının karĢılaĢtırılması
2.2
2.2.1
Denetim Kanıtının Elde Edilebilirliği
BS Denetçisi, anlamlı test süreci ve olanaklıysa uyum testi bilgisinin var olduğu veya elde edilebilir olduğu zamanı göz
önünde bulundurmalıdır. Örneğin elektronik veri değiĢimi (EDI) tarafından iĢlem gören denetim kanıtı, belge görüntü iĢleme
(DIP) ve hesap tablosu gibi dinamik sistemler, eğer dosyalar kontrol edilip yedeklenmezse belli bir zaman sonra yeniden elde
edilemezler. Belgeleme elde edilebilirliği Ģirket belge saklama politikaları tarafından da etkilenir.
2.3
2.3.1
Denetim Kanıtının Seçimi
BS Denetçisi, denetim amaçlarının önemine, harcanan emek ve zamana en uygun, güvenilir ve yeterli denetim kanıtını
sağlamayıp kullanmamayı planlamalıdır.
Sözlü olarak elde edilen denetim kanıtının denetim fikrinin veya sonucunun kritik olduğu durumlarda, BS Denetçisi sunumların
belgelerle, kağıtta ve diğer araçlarla doğrulanması konusunu düĢünmelidir. Denetçi bu sunumların güvenilirliğinden emin
olmak için onları doğrulayan diğer kanıtları da düĢünmelidir.
2.3.2
3
DENETĠM GÖREVĠNĠN YÜRÜTÜLMESĠ
3.1
3.1.1
Denetim Kanıtının Doğası
Denetim kanıtı, BS Denetçisinin bulgularını ve sonuçlarını desteklemek veya bir fikir vermek için yeterli, güvenilir, ilgili ve
faydalı olmalıdır. Eğer, BS Denetçisinin vardığı yargıyı elde edilen denetim kanıtı bu kıstasları ve sonuçları karĢılamazsa
denetçi ilave denetim kanıtı elde etmelidir. Örneğin, üretim sırasında kullanılan gerçek programı temsil eden bir diğer program
ortaya çıkana kadar, önceki program listelemesi yeterli bir denetim kanıtı olmayabilir.
3.2
3.2.1
Denetim Kanıtı Toplama
Denetim kanıtı toplamak için kullanılan usuller denetlenen bilgi sistemine bağlı olarak değiĢir. BS Denetçisi, denetim amacı
için en uygun, güvenli ve yeterli usulü seçmelidir. AĢağıdaki usuller göz önünde bulundurulmalıdır:






3.2.1
Sorgulama
Gözlemleme
SoruĢturma
Doğrulama
Yeniden gerçekleĢtirme (Yineleme)
Ġzleme
Yukarıdakiler, manuel denetim usulleri, bilgisayar-destekli denetim teknikleri veya ikisinin bileĢkesi için kullanılabilir. Örneğin:

Veri giriĢ iĢlemlerinin mutabakatını sağlamada manuel kontrolü kullanan bir sistem bir denetim kanıtı uygun mutabakat
ve açıklayıcı notlar uygun yerlerde kullanılan kontrol süreçleri ile denetim kanıtları sağlayabilir. BS Denetçisi bu raporu
gözden geçirerek ve test ederek denetim kanıtı sağlamalıdır.

3.2.2
3.3
3.3.1
Ayrıntılı iĢlem raporları, sadece makinelerin okuyabileceği bir biçimde elde edilebilir ki bu BS Denetçisinin bilgisayar
destekli denetim teknikleri (BDDT) kullanarak denetim kanıtı elde etmesini gerektirir. Denetçi bilgisayar destekli denetim
tekniklerinin sürüm veya çeĢitlerinin güncel ve ayrıntılı iĢlem kayıtlarıyla tamamen uyumlu olmasını sağlamalıdır.
Eğer toplanan kanıtın yasal bir iĢleme tabi olması olasılığı varsa BS Denetçisi uygun ilgili hukuk uzmanına kanıtın toplanması,
sunulması ve açıklanması üzerinde etkisi olabilecek ile özel ihtiyaçlar olup olmadığını saptamak için danıĢmalıdır.
3.3.2
Denetim Belgelenmesi
BS Denetçisince toplanan denetim kanıtı, uygun bir biçim belgelenmeli ve BS Denetçisi bulgu ve sonuçları desteklemek için
düzenlenmelidir.
BS Denetçisince toplanan kanıtın korunması ve tutulması konusunda Standart S14‘teki yorum bölümüne baĢvurunuz.
4.
RAPORLAMA
4.1
4.1.1
Kapsam Kısıtlaması
BS Denetçisi, yeterli denetim kanıtının elde edilemeyeceğini düĢündüğü durumlarda, bu durumu denetim sonuçlarının
açıklanma biçimiyle tutarlı bir gerçek olarak açıklamalıdır.
5.
5.1
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimleri için 1 Aralık 1998 tarihinden itibaren etkindir. Rehber incelenmiĢ ve güncellenmiĢtir, geçerlilik
tarihi 1 Mayıs 2008‘dir.
31
G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT)
1
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S6 Denetim ĠĢinin GerçekleĢtirilmesi standardı: ―Denetim hedeflerine ulaĢmak için denetim boyunca BS Denetçisi,
yeterli, güvenilir ve iliĢkili kanıtları elde etmek durumundadır. Denetim bulguları ve sonuçları bu kanıtın uygun Analizi
ile desteklenmek zorundadır.‖ ġeklinde ifade eder.
S5 Planlama Standardı :―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve
yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder.
S3 Meslek Etiği ve Standardı : ― BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki
denetim standartlarını gözeterek gereken mesleki özeni göstermelidir.‖ Ģeklinde ifade eder.
S7 Raporlama Standardı :―BS Denetçisi, raporlanan sonuçları destekleyecek uygun ve yeterli denetim kanıtlarına
sahip olmalıdır.‖ Ģeklinde ifade eder.
S14 Denetim Kanıtı Standardı : ―BS Denetçisi, denetim sonuçlarının dayandığı makul çıkarımlara temel olacak yeterli
ve uygun denetim kanıtı sağlamalıdır.Ģeklinde ifade eder.
1.1.2
1.1.3
1.1.4
1.1.5
1.2
1.2.1
1.2.2
1.3
1.3.1
1.3.2
1.4
1.4.1
1.4.2
1.4.3
Rehberlerle Bağlantı
G2 Denetim Kanıtı Gerekliliği Rehberi, BS Denetçisine, BS Denetimi sırasında kullanılan denetim kanıtının türü ve
yeterliliğiyle ilgili rehberlik sağlar.
G10 Denetim Örneklemi Rehberi, BS Denetçisine bir denetim örnekleminin seçimi ve tasarımı ve örnek sonuçlarının
değerlendirilmesi ile ilgili yol göstericilik sağlar.
COBIT Bağlantısı
ME2 Ġç Kontrolün Ġzleme ve Değerlendirmesi, BT hedeflerinin baĢarılmasının sağlanması ve korunmasında iĢ
gereksinimlerine, BT ile bağlantılı iç kontrol süreçlerinin izlenmesi konusunda BT ile bağlantılı hukuk ve düzenlemelere
uyumun baĢarılması ve geliĢtirici faaliyetlerin tanımlanmasını sağlar.
DS5 Sistemlerin Güvenliğini Sağlama, Bilgi ve iĢleme altyapısının bütünlüğünü sürdürmek için BT için iĢ gereksiniminin
karĢılanmasını, güvenlik açıklarının ve vakalarının BT güvenlik politikaları, prosedürleri, standartlarının tanımlanması,
izlemeleri, tespitleri, raporlamaları güvenlik açıklarının ve olaylarının giderilmesine odaklanarak en aza indirilmesini sağlar.
Rehber Gereksinimi
Bilgi sistemlerinin kaydı, iĢlemleri ve veri süreci arttıkça, BS Denetçisinin, yeterli risk analiz için BS araçlarından faydalanma
ihtiyacı denetim kapsamının bütünleĢik bir parçası olmaktadır. Bilgisayar destekli denetim tekniklerinin (BDDT) kullanımı, BS
Denetçisine, kontrol çevresini etkin ve yeterli bir biçimde değerlendirmek için önemli bir araç olarak hizmet eder. Bilgisayar
destekli denetim teknikleri (BDDT), denetimin kapsamının geniĢlemesine, tam ve tutarlı veri analizini ve riskin azaltılmasını
sağlayabilir.
BDDT, genellenmiĢ denetim yazılımlarını, uyarlanmıĢ sorgulamaları, formülleri, faydalı yazılımı, yazılım izleme ve haritalama
ve denetim uzman sistemleri gibi çok sayıda araç ve tekniği içerir.
BDDT, aĢağıdakileri de içeren çeĢitli denetim usullerini gerçekleĢtirirken kullanılabilir:





ĠĢlem ayrıntıları ve bakiyelerine iliĢkin testler,
Analitik gözden geçirme usulleri
BS genel kontrollerinin uyumluluk testleri
BS uygulama kontrollerinin uyumluluk testleri
1.4.6
Saldırı testi
BDDT, BS Denetimlerinde geliĢtirilmiĢ çok sayıda denetim kanıtı üretebilir ve sonuç olarak BS Denetçisi BDDT‘lerini
kullanırken beklenen mesleki özeni sergilemeli ve dikkatli bir biçimde planlamalıdır.
Bu rehber, BS Denetim standartlarını uygulamada yol göstericilik sağlar. BS Denetçisi yukarıdaki standartların uygulanmasını
baĢarmada bunu göz önünde bulundurmalıdır, ayrıca, uygulanmasında mesleki yargılarını kullanmalı ve herhangi bir farklı
tercihin gerekçelendirmesini yapmaya hazırlıklı olmalıdır.
Bu rehber, ilgili denetçinin bir BS Denetçisi olup olmadığına bakılmaksızın, BDDT kullanımında uygulanmalıdır.
2
PLANLAMA
2.1
2.1.1
BDDT Kullanımı için Karar Etmenleri
Denetimi planlarken BS Denetçisi, BDDT ve manuel tekniklerinin uygun bir bileĢkesini düĢünmelidir. BDDT kullanımına karar
verirken göz önünde bulundurulması gereken etmenler Ģunları içerir:
1.4.4
1.4.5






2.2
2.2.1
BS Denetçisinin bilgisayar bilgisi, uzmanlık ve deneyimi
Uygun BDDT ve BS olanaklarının araçları
BDDT‘lerinin manuel teknikler karĢısında etkinliği ve etkenliği
Zaman kısıtlamaları
Bilgi sisteminin ve BT ortamının bütünlüğü
Denetim riskinin seviyesi
BDDT Planlama Adımları
Seçilen BDDT‘lerin uygulanması için hazırlanırken BS Denetçisi tarafından izlenmesi gereken baĢlıca adımlar aĢağıdakileri
içerir:
32
G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) (Devamı)
2.3
2.3.1
2.3.2
2.3.3
2.3.4







Yürütülecek iĢ tanımındaki BDDT‘nin denetim amaçlarını belirlemek.


Kurumun BS araçlarına, programlarına/sistemlerine ve dosya tanımlamaları dâhil verilerine eriĢimin sağlanması,
Kurumun BS olanaklarının, programlarının/sistemlerinin ve verinin eriĢilebilirliğini ve kullanılabilirliğini tespit etmek,
ĠĢlenecek verinin miktarı, türü, formatı ve çıktılarının bileĢimini açıkça anlamak,
Uygulanacak prosedürleri (örneğin istatistiksel örneklem, yeniden hesaplama, teyit/doğrulama, vb.) tanımlamak
Kullanılacak usullerin belirlenmesi (örneğin istatistik örnekleme, yeniden hesaplama, doğrulama)
Çıktı gereksinimlerinin belirlenmesi
Kaynak gereksinimlerinin belirlenmesi, yani personel, BDDTleri, iĢleme ortamı (kurumun BS olanakları veya denetim BS
araçları) vb.
Hedefler, yüksek seviyeli akıĢ çizelgeleri ve iĢletme yönergelerini de içeren BDDT‘lerin belgelendirilmesi.
Denetlenenle Yapılan SözleĢmeler
BDDT‘yi düzgün bir biçimde tasarlamak ve veriyi yorumlamak için kullanıcılardan veya veri sahiplerinden yeterli süre alma
gereksinimi olabilir. Ayrıca, denetlenen BDDT‘nin amaç, kapsam, zamanlama ve hedeflerini anlamalıdır. BDDT‘nin
baĢlangıcında açıkça ortaya konan beklentilerin bildirimi yapılmalıdır.
Ayrıntılı iĢlem dosyaları gibi veri dosyaları sıklıkla kısa bir zaman dilimi için saklanırlar; BS Denetçisi bu yüzden uygun bir
zaman dilimi için denetim verisinin korunmasını sağlamalıdır.
Mümkün ise, kurumun BS araçlarına, program/sistemlerine ve verilerine kurumsal eriĢim çevresindeki gelecekte ihtiyaç
duyulacak zaman dilimindeki etkiyi en aza indirmek için eriĢim gerekli olacağı zamandan önce hazırlanmıĢ olmalıdır.
BS Denetçisi, üretim program/sistemlerindeki değiĢikliklerin BDDT üzerindeki muhtemel etkilerini değerlendirir. Bunu
yaparken, BS Denetçisi bu değiĢikliklerin ve kullandığı program/sistemlerin ve verilerin BDDT‘lerin faydalılığı ve bütünlüğü
üzerindeki programların/sistemlerin ve IS denetçisi tarafından kullanılan verilerin bütünlüğü gibi etkilerini göz önünde
bulundurmalıdır.
2.4
BDDT‘lerin Test Edilmesi
2.4.1
BS Denetçisinin, uygun planlama, tasarım, test süreci ve gözden geçirmelerini belgeleyerek, BDDT‘lerin bütünlüğü,
güvenilirliği, faydalılığı ve güvenliği hakkında makul güvence sağlaması önemlidir. Bu, BDDT‘lere güven duymadan önce
yapılmalıdır. Testin doğası, zamanlaması ve sınırları BDDT‘nin ticari elde edilebilirliği ve istikrarlılığına bağlıdır. Bilinen
BDDT‘leri, beklendiği gibi çalıĢtıklarından emin olmak için ilave incelemeler ve testler gereklidir.
2.5
2.5.1
BDDT‘lerin ve Verilerin Güvenliği
BS Denetçisi BDDT‘lerin veri Analizinden bilgi elde etmek amacıyla kullanıldığı durumlarda, , bilgi edinilen bilgi sisteminin ve
BT ortamının bütünlüğünün sağlandığını doğrulamalıdır.
BDDT‘leri, gizli kalması gereken hassas program ve sistem bilgilerini ve üretim verilerini sonuç elde etmede çıkarabilir ve
kullanabilir. BS Denetçisinin, Ģirket veri sınıflandırmasını ve verilere nasıl iĢlem yaptıklarını ve uygun bir gizlilik ve güvenlik
seviyesi vererek nasıl koruduklarını açıkça anlaması gereklidir. Bu durumda, BS Denetçisi bilgiye sahip olan kurumun istediği
güvenlik, gizlilik seviyesini ve ilgili yasaları göz önünde bulundurmalı, gerekirse hukuk ve yönetim danıĢmanı gibi diğer
uzmanları ile durumu değerlendirmelidir.
BS Denetçisi, BDDT‘nin sürekli bütünlük, güvenilirlik, faydalılık ve güvenliğini sağlamak için uygun süreç sonuçlarını
kullanmalı ve belgelendirmelidir. Örneğin, BDDTlerinde sadece yetkilendirilmiĢ değiĢikliklerin yapılıp yapılmadığını saptamak
için gömülü denetim yazılımındaki program bakım ve program değiĢiklik kontrollerini kapsar.
BS Denetçisi, BDDT‘leri kontrolü altında olmayan bir ortamda bulundukları takdirde, BDDT‘lere etkisi olacak değiĢikliklerin
tanımlanması amacıyla uygun seviyede bir kontrol uygulanmalıdır. BS Denetçisi, BDDT‘ler değiĢtiği zaman BDDT güven
sağlamadan önce uygun bir planlama, tasarım, test etme, iĢleme ve gözden geçirmelerini belgelendirerek bütünlük,
güvenilirlik, faydalılık ve güvenlik konularında güvence sağlamalıdır.
2.5.2
2.5.3
2.5.4.
3.
DENETĠM GÖREVĠNĠN YÜRÜTÜLMESĠ
3.1
3.1.1
Denetim Kanıtının Toplanması
BDDT‘lerin kullanımı, denetim amaçlarının ve BDDT‘lerin ayrıntılı özelliklerinin karĢılandığına dair makul güvence sağlamak
için BS Denetçisi tarafından kontrol edilmelidir. BS Denetçisi, aĢağıdakileri yapmalıdır:




3.1.2
3.2
3.2.1.
Uygunsa kontrol toplamlarının uygunluğunu sağlamak
Makullük için çıktı incelemesi
BDDT‘lerin mantıksal, parametreler veya diğer özelliklerinin gözden geçirmesini yapmak
BDDT‘lerin bütünlüğüne katkı sağlayabilecek kurumun genel BS kontrollerini incelemek, (örneğin program değiĢiklik
kontrolleri ve sisteme, program ve/veya veri dosyaları eriĢim )
BS Denetçisi, test verilerini kullanırken, test verilerinin sadece hatalı iĢlemeye karĢı bir potansiyele iĢaret ettiklerinin farkında
olmalıdır. BS Denetçisi, ayrıca test veri analizlerinin son derece karmaĢık ve iĢlem gören faaliyetlerin, denenen programların
sayısına ve program/sistemlerin karmaĢıklığına bağlı olarak, zaman alıcı olabileceğinin de farkında olmalıdır. BS Denetçisi,
test verilerini kullanmadan önce, test verilerinin kullanılan canlı sistemi kalıcı olarak etkilemeyeceğini doğrulamalıdır.
GenelleĢtirilmiĢ Denetim Yazılımı
BS Denetçisi, üretim verilerine eriĢmek için genelleĢtirilmiĢ denetim yazılımı kullanırken, , kurumun verilerinin
bütünlüğünü korumak için gereken önlemleri almak durumundadır. BS Denetçisi, gömülü denetim yazılımında
tasarıma dahil olmalıdır ve teknikler kurumsal uygulama programları/sistemlerinde içerisinde teknikler geliĢtirilmeli ve
korunmalıdır.
33
G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT)(Devam)
3.3
Yardımcı Yazılım
3.3.1.
BS Denetçisi, yardımcı yazılımı kullanırken iĢleme sırasında planlanmamıĢ müdahalelerin olmadığından ve faydalı
yazılımın sistem kitaplığından edinildiğinden emin olmak durumundadır. BS Denetçisi, kurumun sistem ve
dosyalarının bütünlüğünü korumak için gereken adımları atmalıdır, çünkü bu yardımcı yazılımlar sisteme ve sistem
dosyalarına zarar verebilirler.
3.4
3.4.1
UyarlanmıĢ Sorgular ya da Komutlar
UyarlanmıĢ sorgu veya komutlar, ihtiyaca göre BS Denetçisine analiz için özellikle arzulanan hedef bilgiyi belirlemesine
yardımcı olur. Gereksinime göre olan yazımlar diğer BDDT‘lerinin bulunmadığı ancak belirgin teknik yetenek gerektirdiği
ortamlarda son derece faydalıdırlar. BS Denetçisi, bu sebeple BDDT‘ye güvenmeye baĢlamadan önce bunların bütünlüğü,
güvenilirliği, faydalılığı ve güvenliğinin, uygun planlama, tasarım ve test yoluyla uyarlanmıĢ sorgu ve komutların çıktılarının
uygun formatta olduğu konusunda güvence sağlamalıdır. UyarlanmıĢ sorgu ve komut kodlarını yaĢanabilecek yetkisiz
değiĢiklerden korumak için güvenli bir yerde korunması sağlanmalıdır.
3.5
3.5.1
Uygulama Yazılım Ġzleme ve Haritalama
BS Denetçisi, uygulama yazılımı izleme ve haritalama kullanımı sırasında; kaynak kodların üretim ortamında mevcut
kullanılan nesne programını ürettiğini doğrulamalıdır. BS Denetçisi, uygulama yazılım izleme ve haritalamanın, sadece hata
süreci potansiyeline iĢaret ettiğini ve gerçek üretim verilerini değerlendirmediğini unutmamalıdır.
3.6
3.6.1
Denetim Uzman Sistemleri
Denetim uzman sistemleri veri akıĢını, uygulama yazılımlarının mantıksal iĢleyiĢiyle analiz için kullanılabilen özel araçlardır ve
mantık, yol, kontrol Ģartları ve iĢleyiĢ sıklıklarını belgelendirir. BS Denetçisi, uzman denetim sistemlerini kullanırken karar
vermede izlenen yolların denetim ortamı/durumuna uygunlunu onaylamak için adam akıllı sistem iĢleyiĢ bilgisine sahibi
olmalıdır.
3.7
3.7.1
Sürekli Ġzleme ve Güvence
Sürekli güvence, bilgisayar yoluyla seçilmiĢ denetim kanıtı toplamak için ve kontrolleri sürekli bir biçimde izlemek için BS
Denetçilerine ve yönetime, kesintisiz bir izleme sağlayan yaklaĢımdır. BS Denetçilerince, anında rapor üretmek için
kullanılabilecek ve yüksek riskli, hacimli ortamlarda kullanılabilecek bir süreçtir. Mevcut denetim modelinde (hem iç hem dıĢ
denetçiler tarafından kullanılan) alan çalıĢmasının tamamlanması ve denetim raporunun oluĢturulması arasında bir zaman
geçmektedir. Birçok durumda, bu gecikmenin etkisi, rapordaki bilginin kullanıcıya daha az yararlı olmasına yol açmaktır. Bu,
tanımlanan eksiklere karĢı yönetimin düzeltici faaliyetleri gibi konuları rapor etkilemektedir, kontrol çevresinden daha fazla
sapma (yada denetlenen verilerinden) sonucunda kontrol zayıflıkları ve hatalarından sonucunda rapordaki bilginin
eskimesinin bir sonucudur..
Bu sebeple, sürekli güvence, BS Denetçisine mevcut modelden daha kısa bir sürede rapor hazırlamasına olanak verecek
biçimde tasarlanmıĢtır. Kuramsal olarak bazı ortamlarda neredeyse eĢ zamanlı ve gerçekten sürekli güvenceyi sağlayacak
biçimde raporlama süresini kısaltmak olanaklıdır.
Tanım olarak sürekli güvence, denetlenenin bilgi sistemlerine, geleneksel denetimden daha yüksek derecede güven gerektirir.
Bu, denetim testine temel olacak sistem tarafından üretilen bilgiye karĢı dıĢarıdan üretilen bilgiye güvenme gereksiniminin bir
sonucudur. Bu sebeple, denetçiler denetlenenin sistemleri ve sistem tarafından üretilen bilginin de niteliği üzerinde yargılara
varmak durumundadırlar. DüĢük nitelikli sistemler veya daha az güvenilir bilgi üreten sistemler (ve daha yüksek derecede elle
müdahale gerektiren sistemler) sürekli güvenceye, yüksek nitelikli ve güvenilir bilgi üreten sistemlerden daha az yatkındır.
Daha yüksek nitelikli ve güvenilir bilgi üreten ortamlar, daha kısa sürede rapor hazırlama eğilimindedir. Daha düĢük nitelikli
ortamlar veya daha az güvenilir bilgi üreten ortamlar, sistem tarafından üretilen bilgilerin kullanıcılar tarafından incelenmesi ve
onaylanması veya düzeltilmesi amacıyla geçecek süreyi telafi etmek için zaman harcadığından raporlama süresi daha
uzundur.
3.7.2
3.7.3
3.7.4
4.
BDDT‘lerin Belgelendirilmesi
4.1
4.1.1
4.1.2
ÇalıĢma Kâğıtları
BDDT adım adım iĢleyiĢ süreci, yeterli denetim kanıtı sağlamak için belgelendirilmelidir.
Özellikle denetim çalıĢma kağıtları BDDT uygulamasını tanımlamak için, aĢağıdaki bölümlerde ortaya konulan ayrıntıları
içermek üzere, yeterli belgelendirmeyi içerlemelidir.
4.2
4.2.1
Planlama
Belgeleme Ģunları içermelidir:




4.3
4.3.1
BDDT‘lerin hedefleri
Kullanılacak BDDTleri
Uygulanacak kontroller
Personel yönetimi ve zamanlama
Uygulama
Belgeleme Ģunları içermelidir:


BDDTlerin hazırlanması ve test usulleri ve kontroller
BDDTler tarafından gerçekleĢtirilen testlerin detayları
34
G3 Bilgisayar Destekli Denetim Tekniklerinin Kullanımı (BDDT) (Devam)


4.4
4.4.1
Girdi ayrıntıları (örneğin kullanılan veriler, dosya planları, raporlar), test süreçleri, iĢleme (örneğin BDDTlerin yüksek
seviyede akıĢ Ģemaları, mantık) ve çıktılar (örneğin kütük dosyaları, raporlar)
Kaynak kodları veya ilgili parametreler
Denetim Kanıtı
Belgelendirme Ģunları içermelidir:





Üretilen çıktı
Çıktı üzerinde uygulanan denetim analizinin tanımı
Denetim bulguları
Denetim sonuçları
4.4.2
Denetim önerileri
Kullanılan veri ve dosyalar güvenli bir yerde tutulmalıdır. Ayrıca, denetimin bir parçası olarak kullanılan geçici gizli veriler ilgili
yönergeler uyarınca yok edilmelidir.
5
RAPORLAMA
5.1
5.1.1
BDDT‘lerin Tanımı
Raporun amaçları, kapsamı ve yöntem bölümleri, BDDT‘lerin kullanımının tanımını açıkça içermelidir. Bu tanım aĢırı bir
biçimde ayrıntılı olmamalıdır fakat okuyucuya yeterli bir fikir verebilmelidir.
Kullanılan BDDT‘lerin tanımı, kullanılan BDDTler ile ilgili bulgularının rapor içerisinde ayrıca tartıĢıldığı yer bulunmalıdır.
Kullanılan BDDTlerin tanımı değiĢik bulgulara da uyuyorsa veya çok ayrıntılıysa amaçlar, kapsam ve yöntem bölümünde
kısaca tartıĢılmalıdır ve okuyucuya detaylar için ek bölüm konulmalıdır.
5.1.2
5.1.3
6
YÜRÜRLÜK TARĠHĠ
6.1
Bu rehber bütün BS Denetimlerinde, 1 Aralık 1998 tarihinden itibaren etkindir. Rehber, incelenmiĢ ve güncellenmiĢtir,
geçerlilik tarihi 1 Mart 2008‘dir.
35
G4 BS Faaliyetlerinin Diğer Kurumlara DıĢ kaynaktan Sağlanması
1
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S1 Denetim Yönetmeliği standardı: ―BiliĢim sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,
sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde
belgelenmelidir.‖ Ģeklinde ifade eder.
S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve
yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder.
S6 Denetimin Yürütülmesi Standardı: ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.
1.1.2
1.1.3
1.2
1.2.1
Rehberlerle Bağlantı
G16 Rehberi, BS Denetçisinin, üçüncü tarafın BS kontrolleri ve ilgili kontrol hedefleri üzerindeki etkisini değerlendirirken
ISACA BS Denetim Standartlarıyla ve COBIT ile nasıl uyum içinde olmaları gerektiğini ortaya koymaktadır.
1.3
1.3.1
COBIT Bağlantısı
DS2 Üçüncü Taraf Hizmetlerinin yönetilmesi: BS Denetçisinin iĢ gereksinimlerine kullanıcının, iĢin gereksinimlerini karĢılamak
üzere ve üçüncü tarafların rol ve sorumluluklarının açıkça tanımlanmasını sağlamak için hangi kontrollerin hizmetlerin
kullanıcılarına konulması gerektiğini ifade eder.
1.4
1.4.1
Rehber Gereksinimi
Bir kurum (hizmet kullanıcısı) kısmen veya tamamen kendi BS faaliyetlerini, bir dıĢ tedarikçiye (bu hizmeti sağlayan) karĢı
temsil edebilir. Sunulan hizmet kullanıcının sistemini veya kendi sistemini kullanabilir. DıĢtan desteklenen BS faaliyetleri, veri
merkezi iĢlemleri, güvenlik ve uygulama sistem geliĢim ve bakımı gibi BS iĢlevlerini içerir.
SözleĢmeler, anlaĢmalar ve düzenlemelere uyum sorumluluğu hizmet kullanıcısındadır.
Denetim hakları sıklıkla açıkça belirtilmiĢ olmaz. Denetim uyumu için sorumluluk da sıklıkla netleĢtirilmemiĢtir. Bu Rehberin
amacı böyle bir durumda BS Denetçisinin S1, S5 ve S6 ile nasıl uyum içinde olacağını ortaya koymaktır.
Bu rehber, BS Denetim Standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartlara nasıl
ulaĢılacağını belirlemede bunları göz önünde bulundurmalıdır ve uygulanmada mesleki hükümlerini kullanmalı ve herhangi bir
ayrılığı gerekçelendirmeye hazırlıklı olmalıdır.
1.4.2
1.4.3
1.4.4
2.
DENETĠM YÖNETMELĠĞĠ
2.1
2.1.1
Sorumluluk, Yetki ve Hesap Verilebilirlik
BS iĢlevinin herhangi bir yönü bir hizmet sağlayıcıdan dıĢarıdan sağlanmıĢ ise;, bu hizmetler denetim yönetmeliğinin
kapsamında dahil edilmelidir.
Denetim yönetmeliği, BS Denetçisinin aĢağıdakileri yapabilme yetkisini açık bir biçimde belirtmelidir:
2.1.2



Hizmet sağlayıcı ve kullanıcısı arasındaki anlaĢmayı incelemek (önceki veya sonraki etki)
DıĢtan destekle ilgili gerekli görülen denetim iĢini yapmak
Hizmet kullanım yönetimine bulgular, sonuçlar ve önerileri raporlamak
3
PLANLAMA
3.1
3.1.1
3.1.2
3.1.3
Gerçeği Bulma
BS Denetçisi, dıĢtan desteklenen hizmetlerin sınırı, zamanlaması ve doğasıyla ilgili bilgi edinmelidir.
DıĢtan desteklenen hizmetlerle ilgili riskler tanımlanmalı ve değerlendirilmelidir.
BS Denetçisi, iĢ hedeflerinin baĢarılması ve istenmeyen olayların önlenmesi, tespit edilmesi ve düzeltilmesi konusunda makul
güvence sağlamak için hizmet kullanıcısının kontrollerinin kapsamını değerlendirmelidir.
BS Denetçisi, hangi kontrollerin hizmet sağlayıcının (veya anlaĢmalı üçüncü tarafların) ve hangilerinin hizmet kullanıcısının
sorumluluğunda olduğunun anlaĢılmasını sağlamalıdır.
BS Denetçisi, dıĢarıdan satın alma anlaĢması servis sağlayıcının denetimi sağladığını ve sözleĢme Ģartlarının yeterli olup
olmadığının kapsamını belirlemelidir. Bu, hizmet sağlayıcının iç denetçileri veya bağımsız üçüncü taraflar tarafından yapılan
herhangi bir BS Denetim iĢinin güvenilirlik durumunun değerlendirilmesini kapsar.
3.1.4
3.1.5
3.2
3.2.1
3.2.2
3.2.3
Planlama
BS Denetçisi, hizmet seviye anlaĢmasını (SLA) ve sözleĢmeyi, planlama aĢamasında ve hizmet sağlayıcıyı denetim hakkı ile
ilgili olarak incelerken, gereken hukuki uzman görüĢüne baĢvurmayı düĢünmelidir.
BS Denetçisi, hizmet sağlayıcı hakkında hazırlanmıĢ olan önceki denetim raporunu değerlendirmeli ve denetim amaçlarına
ulaĢmak için hizmet sağlayıcının çevresiyle ilgili BS Denetimi hedeflerini planlamalı. bunu yaparken planlama sırasında elde
edilen bilgiyi dikkate almalıdır.
BS Denetçisi, ne tür bir dıĢtan destekleme kullanıldığını belirlemeli ve denetimde bunun etkilerinin ne olacağını göz önünde
bulundurmalıdır.

ĠĢgücünün dıĢarıdan sağlanması (yaygın kıyı ötesi modeli)

Sadece iĢgücü dıĢarıdan sağlanır. Hizmet kullanıcısının iç kontrolleri ve iĢ süreci aynı kalır. Hizmet sağlayıcı hizmet
vermek için tamamen hizmet kullanıcının BT ortamına güvenir.

BS Denetçisi, hizmet kullanıcısının mevcut BT kontrollerini ve SLA‘yı (hizmet seviye anlaĢmasını) destekleyen ek
kontrollerini testini planlamalıdır.
36
G4 BS Faaliyetlerinin Diğer Kurumlara DıĢ kaynaktan Sağlanması (Devam)

ĠĢgücü ve dıĢtan destekleyen sistemler (yaygın kıyı içi sistemler):


3.2.4
3.2.5
3.2.6
Hizmet sağlayıcı, hizmeti vermek için kendi BT ortamını kullanır (örneğin maaĢ bordrolarının dıĢtan destekle
hazırlanması gibi)
BS Denetçisi, hizmet sağlayıcının nitelikli üçüncü tarafların (örneğin SAS70 Tip II raporu) yaptığı kontrol testlerinin
belgelemesini sağlayıp sağlayamayacağını ve testte kapsanan amaçların BS Denetçisinin denetim amaçlarıyla
örtüĢüp örtüĢmediğini göz önünde bulundurmalıdır.
Denetim amaçlarının, hizmet kullanıcı yönetimi ile hizmet sağlayıcıya iletilmeden önce üzerinde anlaĢılmıĢ olması
gereklidir. Hizmet sağlayıcısınca, istenen herhangi bir değiĢiklik hizmet kullanıcı yönetimi ile üzerinde anlaĢılmıĢ
olması gereklidir.
BS Denetçisi, iĢin amaçlarına ve kapsamına karar verirken Uluslararası Standardizasyon Kurumlarını ve uluslararası
sertifikasyonları da göz önünde bulundurmalıdır. Buna dayalı olarak BS Denetçisi kurum tarafından hangi
uluslararası sertifikasyonlara ne derecede güvenileceğine karar vermelidir.
BS Denetçisi,
denetim sanki hizmet kullanıcının kendi ortamında yapılıyormuĢ gibi, hizmet kullanıcısının
yürürlükteki mesleki denetim standartları ile uyuĢması amacıyla BS Denetim iĢini planlamalıdır.
4
DENETĠM ĠġĠNĠN YÜRÜTÜLMESĠ
4.1
4.1.1
Denetim Kanıtı Gerekliliği
Denetim, hizmet sanki hizmet kullanıcısının kendi ortamında yapılıyormuĢ gibi gerçekleĢtirilmelidir.
4.2
4.2.1
Hizmet Sağlayıcıyla AnlaĢma
BS Denetçisi aĢağıdaki noktaları da göz önünde bulundurmalıdır:
4.3
4.3.1


Hizmet sağlayıcı ve hizmet kullanıcısı arasında resmi bir anlaĢmanın bulunması

Hizmet kullanıcısının kendisi tarafından yapılmıĢ gibi, hizmet sağlayıcının faaliyetlerinin denetim ve kontrollere tabi
olduğunu belirten dıĢtan destekleme anlaĢmasında belirli ve uygulanabilir Ģartlar

Denetim eriĢim haklarının, hem iç denetim elemanları hem de hizmet sağlayıcının denetimleri yapan üçüncü tarafları
kapsar biçimde anlaĢmada var olması

Hizmet sağlayıcısının SLA Ģartları ile uyum içinde olup olmadığının izlemesini gerektiren ve kontrollerdeki herhangi bir
hatayı rapor etmesini gerektiren hükümler





SLA Ģartlarında performans izleme usullerinin varlığı

Hizmet sağlayıcısının bir yıkım/çökme durumunda iĢlemlere devam edebilme yeteneğinin yeterliliği
Hizmet sağlayıcısının faaliyetleriyle ilgili bütün yasal gereksinimleri karĢılamak zorunda olduğunu açıkça belirten bir
bildirimin var olması
Hizmet kullanıcısının güvenlik politikalarına bağlılık
Hizmet kullanıcısının, emniyeti suiistimal sigorta düzenlemelerinin yeterliği
Anahtar görevler arasında görev ayrımını kapsayan, hizmet kullanıcısının personel politikaları ve usullerinin yeterliği,
Üçüncü Ģahıslar ve taĢeron kullanımı için ve SLA performansının izlenmesi için hizmet sağlayıcının politikalarının ve
usullerin yeterliği
DıĢarıdan Sağlanan Hizmetlerin Yönetimi
BS Denetçisi, aĢağıdakilerden emin olmalıdır:

SLA Ģartlarına uygunluğu izlemede kullanılan bilgiyi üretmek için iĢ süreci uygun biçimde kontrol edilmiĢ olmalıdır.
Hizmet kullanıcısı ya standart hizmet seviye uyum bilgisini kabul etmelidir veya hizmet sağlayıcısı tarafından kabul
edilmiĢ ek rapor gereksinimini eklemiĢ olmalıdır.

Hizmet kullanıcısı, SLA gereklerinin karĢılanmadığı durumlarda çözüm aramıĢtır ve üzerinde anlaĢılan hizmet seviyesine
ulaĢmak için düzeltici etkinlikler göz önünde bulundurulmuĢtur.

Hizmet kullanıcısı, sağlanan hizmetlerin incelenmesi ve izlenmesi konusunda kapasite ve yeteneğe sahiptir.
4.4
Kapsamın Sınırlandırmaları
4.4.1
BS Denetçisi, hizmet sağlayıcısının BS Denetçisiyle iĢbirliği yapmak istemediğinin kanıtlandığı durumlarda, sorunu hizmet
kullanıcısı yönetimine rapor etmelidir. Bu, hizmet sağlayıcı tarafından taĢerona verilen ve denetim hakkı olmayan üçüncü
taraflara yaptırılan iĢlemleri de içerebilir.
5
RAPORLAMA
5.1
5.1.1
5.1.2
Raporun Verilmesi ve Rapor Üzerinde AnlaĢma
BS Denetçisi, denetim iĢi bitince hizmet kullanıcısına uygun bir biçimde rapor vermelidir.
BS Denetçisi, raporu, yayınlanmadan önce hizmet sağlayıcı ile görüĢmeyi göz önünde bulundurmalıdır, fakat BS Denetçisi
nihai raporun hizmet sağlayıcısına verilmesinden sorumlu değildir. Eğer hizmet sağlayıcı bir kopya alacaksa bu, hizmet
kullanıcısının yönetiminden gelmelidir.
37
G4 BS Faaliyetlerinin Diğer Kurumlara DıĢ kaynaktan Sağlanması (Devam)
5.1.3
Rapor, BS Denetçisi veya hizmet kullanıcısı yönetiminin anlaĢtığı biçimde dağıtım sınırlandırmalarını belirtmelidir. Örneğin,
hizmet sağlayıcı, BS Denetçisinin kurumunun ve hizmet kullanıcısının izni olmaksızın diğer kullanıcılara raporun kopyasını
veremez. BS Denetçisi üçüncü taraflara sorumluluğu hariç tutan bir ifadeyi de göz önünde bulundurmalıdır.
5.2
5.2.1
Kapsam Sınırlandırmalarının Raporlanması
Denetim raporu, denetim eriĢim haklarının reddedildiği, kapsam üzerindeki bir sınırlandırmayı açık bir biçimde tanımlamalıdır
ve bu sınırlandırmanın etkisini denetimle ilgili bir biçimde açıklamalıdır.
6
DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ
6.1
6.1.1
Önceki Denetimlerin Etkileri
BS Denetçisi, denetim hizmet kullanıcının kendi ortamında gerçekleĢtirilmiĢ gibi, hem hizmet kullanıcıdan hem de hizmet
sağlayıcıdan önceki bulgularla, sonuç ve önerilerle ilgili bilgi istemelidir. BS Denetçisi, hizmet sağlayıcı tarafından düzeltici
faaliyetlerin zamanında uygulanıp uygulanmadığına karar vermelidir.
7
7.1
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimlerinde, 1 Eylül 1999 tarihinden itibaren etkindir. Rehber incelenmiĢ ve güncellenmiĢtir, geçerlilik
tarihi 1 Mayıs 2008‘dir.
38
G5 Denetim Yönetmeliği
1
1.1
1.1.1
ARKA PLAN
Standartlarla Bağlantı
S1 Denetim Yönetmeliği Standardı: ―BiliĢim sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,
sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde
belgelenmelidir.‖ ġeklinde ifade eder.
1.2
1.2.1
COBIT Bağlantısı
ME 4.7 Bağımsız Güvence bildirimi: ―Kurula zamanında, BT ile uyum hakkında, politikalarıyla, standartlarıyla ve
usulleriyle ve genel olarak kabul edilmiĢ uygulamalarıyla bağımsız güvence veriniz‖. ġeklinde ifade eder.
ME 2.5 Ġç Kontrollerin Güvencesi bildirimi: ―Gerektiğinde, üçüncü taraf incelemeleri yoluyla iç kontroller üzerinde
etkililik ve tamamlanma ile ilgili ileri derecede güvence elde edilmelidir‖. ġeklinde ifade eder.
1.2.2
1.3
1.3.1
1.3.2
Rehber Gereksinimi
Bu Rehberin amacı BS Denetçisine, BS Denetim iĢlevinin yetkisi ve sorumluluğunu belirlemek amacıyla bir denetim
yönetmeliği hazırlamada yardım etmektir. Bu rehber asıl olarak iç BS Denetim iĢlevine yönelik olarak hazırlanmıĢtır, fakat
diğer durumlar için de diğer yönler göz önünde bulundurulmalıdır.
Bu rehber BS Denetim standartlarını uygulamada yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartların
uygulanmasının nasıl olacağını belirlemede bunu göz önünde bulundurmalıdır ve uygulanmasında mesleki hükümlerini
kullanmalıdır ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.
2
DENETĠM YÖNETMELĠĞĠ
2.1
2.1.1
Yetki
BS Denetçisi, BS Denetim iĢlevini gerçekleĢtirmek için açıkça belli bir yetkiye sahip olmalıdır. Bu yetki resmi olarak kabul
edilmiĢ olan bir denetim yönetmeliğinde belgelenmiĢ olmalıdır. Bir denetim yönetmeliğinin var olduğu durumlarda, BS
Denetimi yetkisi kapsanmıĢ olmalıdır.
2.2
2.2.1
Denetim Yönetmeliğinin Kapsamı
Denetim Yönetmeliği, amaç, sorumluluk, yetki ve hesap verilebilirlikten oluĢan dört yöne hitap edebilmelidir. Göz önünde
bulundurulması gereken yönler aĢağıdaki ortaya konmuĢtur:
Amaç:
2.2.2





2.2.3
2.2.4
2.2.5
Rol
Amaçlar/hedefler
Görev anlatımı
Kapsam
Amaçlar
Sorumluluk:








ĠĢleyiĢ ilkeleri






Denetim yürütülmesiyle ilgili i bilgiye, personele, yerlere ve sistemlere eriĢim hakkı





Üst yönetime raporların iletileceği hat,
Bağımsızlık
DıĢ denetimle iliĢki
Denetlenen gereksinimleri
Kritik baĢarı faktörleri
Anahtar performans göstergeleri
Risk Analizi
Diğer performans göstergeleri
Yetki:
Kapsam veya herhangi kapsam sınırlandırmaları
Denetlenecek iĢlevler
Denetlenenin beklentileri
Üst yönetime ve kurula rapor etme yolları, kurumsal yapı
BS Denetim personeli derecelendirmesi
Hesap Verilebilirlik
Görev performans değerlemesi
Personel/kariyer geliĢimi
Denetlenen hakları
Bağımsız kalite gözden geçirmeleri
39
G5 Denetim Yönetmeliği(Devam)





2.3
2.3.1
2.3.2
Standartlara uyum değerlendirmesi
Performans ve iĢlevlerin kıyaslanması
Denetim planının tamamlanmasının değerlendirilmesi
Bütçenin gerçek maliyetlerle karĢılaĢtırılması
Fikir birliğine varılan etkinlikler, örneğin, herhangi bir tarafın sorumluluklarını yerine getirmeme yaptırımları
Denetlenenle ĠletiĢim
Denetlenenle etkili iletiĢim Ģunları içerir:





Hizmetin, kapsam, eriĢebilirlik ve zamanında teslimi tanımlamak












PlanlanmamıĢ iĢ için eriĢebilirlik
Olanaklıysa maliyet ve bütçe tahminlerinde bulunmak
Sorunları ve muhtemel çözümlerini tanımlamak
Etkili iletiĢim için yeterli ve hazır eriĢim araçlarının sağlanması
Denetlenenin gereksinimleri ve sağlanan hizmet arasındaki iliĢkiyi tanımlamak
Denetim yönetmeliği denetlenenlerle sağlam bir temel oluĢturur ve aĢağıdakine benzer noktalarda hizmet derecesine
göndermeler içermelidir:
Raporların teslimi
Maliyetler
Denetlenen Ģikâyetlerine yanıt
Hizmet niteliği
Performans incelemesi
Denetlenenlerle iletiĢim
Gereksinimlerin değerlendirilmesi
Kontrol riski öz-değerlendirmesi
Denetimler sözleĢmesinin üzerinde uzlaĢma
Raporlama süreci
Bulgular üzerinde görüĢ birliği
2.4
2.4.1
Kalite Güvence Süreci
BS Denetçisi, denetimlerle ilgili denetlenenlerin gereksinimlerini ve beklentilerini anlamak için bir kalite güvence süreci
oluĢturmayı düĢünmelidir (görüĢmeler, müĢteri memnuniyet araĢtırmaları, görev performans araĢtırmaları vb gibi). Bu
gereksinimler, gerektiğinde hizmeti geliĢtirmek, hizmet veriliĢ yöntemini değiĢtirmek veya denetim yönetmeliğini değiĢtirmek
amacıyla yönetmelik bağlamında karĢı değerlendirilmelidir.
3.
HĠZMET SÖZLEġMESĠ
3.1
3.1.1
Amaç
AnlaĢma mektupları sıklıkla bireysel görevler için veya dıĢ bir BS Denetimi ile bir kurum arasındaki iliĢkinin kapsam ve
amaçlarını ortaya koymak için kullanılırlar.
3.2
3.2.1
Ġçerik
AnlaĢma mektubu açık bir biçimde üç bileĢene, sorumluluk, yetki ve hesap verilebilirliğe gönderme yapmalıdır. Göz önünde
bulundurulması gereken noktalar aĢağıda ortaya konmuĢtur:
Sorumluluk
3.2.2






3.2.3
Kapsam
Amaçlar
Bağımsızlık
Risk Analizi
Belli denetlenen gereksinimleri
Çıktılar
Yetki



Denetimlerin yürütülmesiyle ilgili bilgiye, personele, yerlere ve sistemlere eriĢim hakkı
Kapsam veya herhangi kapsam sınırlandırmaları
ĠĢin Ģartları ve maddeleri üzerinde anlaĢıldığına dair gösterge
40
G5 Denetim Yönetmeliği(Devam)
3.2.4
Hesap Verilebilirlik





4
4.1
Raporların verileceği hedef kitle
Denetlenen hakları
Kalite incelemeleri
Üzerinde uzlaĢılmıĢ tamamlanma tarihleri
Uygun ise üzerinde uzlaĢılmıĢ bütçeler/ücretler
YÜRÜRLÜK TARĠHĠ
Bu rehber, bütün BS Denetimlerinde 1 Eylül 1999 tarihinden itibaren geçerlidir. Rehber incelenmiĢ ve güncellenmiĢtir, yürürlük
tarihi 1 ġubat 2008‘dir.
41
G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları
1.
ARKA PLAN
1.1
2
Standartlarla Bağlantı
S5 Planlama Standardı, ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve
yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır. ġeklinde ifade eder.
S10 BT YönetiĢimi Standardı: ―BS Denetçisi, yasal, çevresel ve bilgi niteliği ve güvenlik ve emniyet gereksinimlerine
uygunluğunu denetimi ve değerlendirmelidir.‖Ģeklinde ifade eder..
S12 Denetim Gerekliliği Standardı: ―BS Denetçisi, denetim usullerinin sınırı, doğası ve zamanlaması belirlenirken
denetimin önemliliği ve bunun denetim riskiyle iliĢkisini göz önünde bulundurmalıdır. BS Denetçisi, kontrollerin
olmaması veya zayıf olması ihtimalini veya kontrollerin olmamasının veya zayıflığının bilgi sistemlerinde önemli
hatalara veya ciddi zayıflıklara yol açıp açmadığını dikkate almalıdır. BS Denetçisi, küçük kontrol hataların ve
kontrollerin olmaması veya zayıf olmasının toplam etkisini bilgi sistemlerinde önemli hata veya ciddi zayıflıklara
dönüĢüp dönüĢmediğini dikkate almalıdır. Ģeklinde ifade eder.
S9 Aykırılıklar ve YasadıĢı Hareketler Standardı:: ―Eğer BS Denetçisi, somut bir aykırılık veya yasadıĢılık
belirlemiĢse veya somut bir aykırılık ya da yasadıĢılık olması ihtimali bilgisini edinmiĢse, bu meseleleri
yönetimin uygun kademesine zamanında bildirmelidir. Ģeklinde ifade eder..
COBIT Bağlantısı
PO5 BT Yatırımının Yönetilmesi: Etkili ve etken BT yatırım ve portfolyo kararlarına odaklanarak son kullanıcının
beklentilerini tatmin edecek standartlaĢmıĢ ve bütünleĢmiĢ hizmetler ile iĢ karlılığına BT‘nin düĢük maliyet ve
katkılarıyla sürekli ve açık bir BT geliĢmesini, BT stratejileri ve yatırım kararlarıyla uyumlu BT bütçesinin
oluĢturulması ve izlenmesiyle iĢ gereksinimlerinin giderilmesini sağlar.
AI1 Otomatik Çözümlerin Tanımlanması: Teknik olarak yapılabilirliği olan ve maliyet-etkin çözümleri tanımlanmasına
odaklanarak iĢ birimlerinin ve kontrol gereksinimlerini etkili ve etken otomatik çözümlerin tasarlanarak dönüĢtürülmesini ve iĢ
gereksinimlerinin giderilmesini sağlar.
DS 10 Sorun yönetimi, hizmet seviyesi ve hizmet sunumuyla ilgili BT son kullanıcısının memnuniyetinin
sağlanması için iĢ gereksinimleri, hizmet sunumu hatalarının tespiti ve azaltılması, kaydedilen, izlenen ve
çözümlenen operasyonel sorunların yeniden çalıĢtırılması, önemli tüm sorunların temel sebeplerinin
soruĢturulması, tanımlanan operasyonel problemlerin çözümlerinin tanımlanmasını sağlar.
DS13 Operasyonların Yönetimi , BT altyapısının sağlanması ve veri bütünlüğünün korunmasını için iĢ
gereksinimlerine, planlanmıĢ veri süreci için operasyonel hizmet seviyelerinin karĢılanmasına odaklanarak hata ve
baĢarısızlıkların giderilmesi ve engellenebilmesini, hassas çıktıların korunmasını, altyapının izlenmesini ve
korunmasını sağlar.
ME4 BT yönetiĢimi , ―Kurumsal yönetiĢim hedefleriyle BT yönetiĢiminin entegrasyonu için iĢ
gereksinimlerini, BT stratejileri konusundaki hazırlanan yönetim kurulu raporlarına odaklanarak kanun ve
düzenlemeler ile uyumun baĢarılması, gerçekleĢtirme ve riskler ve yönetim kurulunun talimatları doğrultusunda
yönetiĢim gereksinimlerine verilecek cevabı sağlar‖.
Belli bir denetimin kapsamına uyarlanabilir en uygun COBIT materyalinin seçimi belli COBIT BT sürecinin seçilmesine
ve COBIT‘in kontrol hedeflerinin ve ilgili yönetim uygulamalarının göz önünde bulundurulmasına dayanır. BS Denetçisince,
tarafından bilgi sistemlerinin denetlenmesinde önemlilik kavramını karĢılamak için COBIT süreciyle en ilgili olabilecek seçilip,
aĢağıda uyarlanmıĢ biçimde birincil ve ikincil olarak sınıflandırılmaları beklenir.
Seçilecek ve uyarlanacak süreç ve kontrol amaçları, görevin kapsamına ve sözleĢme Ģartlarına bağlı olarak
değiĢebilir.
Ġkincil kaynaklar:
2.1.1
2.1.2
2.1.3.
1.2.
1.2.1.
1.2.2.
1.2.3.
1.2.4.
1.2.5.
1.2.6.
1.2.7
1.2.8
2.
2.1
2.1.1












PO8 Kalite yönetimi


Birincil: Gizlilik, bütünlük, uyum, güvenilirlik
PO9 BT risklerinin değerlendirilmesi ve yönetimi
AI2 Uygulama yazılımının edinilmesi ve sürdürülmesi
AI3 Teknoloji altyapısının edinilmesi ve sürdürülmesi
AI4 ĠĢletim ve kullanımın sağlanması
AI5 BT kaynakları sağlamak
AI6 DeğiĢiklikleri yönetme
DS3 Performans ve kapasite yönetimi
DS5 Sistem güvenliğini sağlama
DS9 Konfigürasyon yönetimi
ME1 BT performansını izleme ve değerlendirme
ME2 Ġç kontrolleri izleme ve değerlendirme
Denetim gerekliliğiyle en ilgili bilgi kıstasları:
Ġkincil: Etkililik, verimlilik, eriĢebilirlik
REHBER GEREKSĠNĠMĠ
Mali Denetimlere KarĢı BS Denetimi
Mali denetçilerin aksine, BS Denetçileri önemliliği ölçmek için farklı bir ölçme aracına gerek duyarlar. Mali denetçiler,
gerekliliği parasal terimlerle ölçerler çünkü denetledikleri Ģey parasal terimlerle de ölçülür ve raporlanır. BS Denetçileri mali
olmayan nesneleri ölçerler, örneğin fiziki eriĢim kontrolü, sanal eriĢim kontrolü, program değiĢim kontrolleri ve
42
G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları (Devam)
2.1.2
personel yönetim sistemleri, üretim kontrolleri, tasarım, kalite kontrolü, Ģifre üretimi, kredi kartı üretimi ve hasta bakımı gibi. Bu
yüzden, BS denetçiler, herhangi bir hatanın yada tespit edilen zayıflığı nasıl değerlendireceği, yüksek riskli alanlara nasıl
çalıĢmasını yoğunlaĢtıracağı, denetimini etkinleĢtirmeyi planlamak için önemliliği nasıl değerlendireceği konusunda bir
rehbere ihtiyaç duyabilir.
Bu rehber, denetim gerekliliğiyle ilgili BS Denetim standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi,
yukarıdaki standartlara nasıl ulaĢılacağını belirlerken bunu göz önünde bulundurmalıdır, uygulamasında mesleki yargı
kullanmalı ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.
3.
PLANLAMA
3.1
3.1.1
Önemliliğin Değerlendirilmesi
Neyin önemli olduğunun değerlendirilmesi mesleki bir yargı konusudur ve denetlenen alanda bir kontrol zayıflığı sonucu
ortaya çıkabilecek bir hata, ihmal, aykırılık ve yasadıĢı hareket olduğunda kurumun iĢ hedeflerinin karĢılanmasında kurumsal
potansiyel etki ve etkinin değerlendirilmesi kapsar.
BS Denetçisi, önemliliği değerlendirirken göz önüne alacağı noktalar:
3.1.2


3.1.3
3.1.4
3.1.5
Küçük hatalar veya zayıflıkların toplam muhtemel etkisi ve önemli hale gelmesi,
BS Denetçisi, denetim hedeflerini baĢarmak için, risk tolerans oranına dayalı olarak ilgili kontrol amaçlarını tanımlamalı ve
neyin kontrol edileceğini belirlemelidir. Önemli kontrol, belirli kontrol hederlerini göz önüne alan bir bu kontrol olmadan kontrol
usulleri, kontrol amaçlarının karĢılanacağına dair makul güvence verilemeyen bir kontrol veya bir kontroller grubudur.
BS Denetçisi,, amacının mali iĢlemlerle ilgili olduğu durumlarda mali denetçinin önemlilik ölçüsü BS Denetimi yapılırken göz
önünde bulundurulmalıdır.
BS Denetçisi, gizlilik, eriĢebilirlik ve bütünlük açısından bilgilerin sınıflandırılmasını ve ayrıcalık yönetiminde eriĢim kontrol
kurallarını ve kritik olma ve riske maruz kalma derecesine dayalı olarak bilgilerin sınıflandırılmasında rol, sorumlulukları
belirlemelidir.
Değerlendirme Ģunların doğrulanmasını içermelidir:






3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
BS Denetçisi, ilgili düzenleyici kurumlar ve diğer paydaĢlarca ve yönetimce kabul edilebilir toplam hata seviyesi,
Depolanan bilgi
BS donanımı
BS mimarisi ve yazılımı
BS ağ altyapısı
BS iĢlemleri
GeliĢme ve test ortamı
BS Denetçisi, BT genel bozukluğunun potansiyel olarak önemli hale dönüĢüp dönüĢmeyeceğini belirlemelidir. Bu tür bozuk
BT genel kontrollerinin önemi uygulama kontrolleri üzerindeki etkileriyle ölçülmelidir, yani bütünleĢik uygulama kontrollerinin
etkisiz olup olmadığı. Eğer uygulama bozukluğuna BT genel kontrolü sebep olmuyor ise; o zaman önemlidir. Örneğin, eğer
uygulamaya dayalı bir vergi hesabı somut olarak yanlıĢsa ve vergi tablolarında zayıf değiĢim kontrolü yüzünden ortaya
çıkmıĢsa o zaman uygulamaya dayalı kontrol (hesaplama) ve genel kontroller (değiĢiklikler) somut olarak zayıftır.
BS Denetçisi, BT genel kontrol zaaflarını bu zaafların uygulama kontrollerine ve toplamda diğer kontrol zaaflarına olan
etkisiyle değerlendirmelidir. Örneğin, yönetimin genel bir BT kontrol zaafıyla iliĢkili olarak kontrol ortamına yansımıĢ zaafları
gidermeme kararı, diğer kontrol hataları kontrol ortamını etkilediği zaman diğer zayıflıklar sonucunda daha önemli hale
getirebilir.
BS Denetçisi, önemli olabilecek bir hatayı düzeltmede baĢarısızlığın da önemli duruma geleceğini unutmamalıdır.
BS Denetçisi, uygun paydaĢlardan, var olan önemli zaafı öğrendiklerine ve kurum içerisinde bunun farkında olduklarını
belirten imzalı yazı almayı göz önünde bulundurmalıdır.
AĢağıdaki örnekler, önemliliği değerlendirmede ölçütler olarak düĢünülmelidir :








ĠĢ sürecinin, sistem veya iĢlem tarafından desteklenen kritikliği


Kritik ve zorunlu bilginin kaybedilmesinin doğuracağı parasal zarar ve yeniden üretme maliyeti
Bilgi veritabanlarının sistem veya iĢlem tarafından desteklenen kritikliği
GeliĢtirilen uygulamanın çeĢidi ve sayısı
Bilgi sistemlerini kullananların sayısı
Ayrıcalıklar tarafından sınıflandırılan bilgi sistemleriyle çalıĢan müdürlerin sayısı
Sistem veya iĢlem tarafından desteklenen ağ iletiĢiminin kritikliği
Sistem veya iĢlem maliyeti (donanım, yazılım, personel, üçüncü Ģahıs hizmetleri, iĢletme giderleri veya bunların bileĢimi)
Hataların potansiyel maliyeti (muhtemelen kayıp satıĢlar anlamında, garanti istekleri, karĢı koyulamaz geliĢme maliyetleri,
uyarılar için bildirim maliyeti, düzeltme maliyetleri, sağlık ve güvenlik maliyetleri, yüksek üretim maliyetleri, yüksek israf,
vb)
KarĢı önlemlerin etkililiği
43
G6 Bilgi Sistemleri Denetiminde Önemlilik Kavramları (Devam)







EriĢimlerin/iĢlemlerin/sorguların dönem baĢına sayısı
Hazırlanan raporların doğası, zamanlaması ve sınırı ve saklanan dosyalar
ĠĢlem gören materyallerin miktarı ve doğası (örneğin envanter hareketleri değerler olmaksızın kaydedilmiĢ)
Malzemelerin doğası ve miktarı(örnek: değerler olmadan envanterlerin taĢınması kaydedilmektedir.)
Hizmet seviyesi anlaĢma seviyesi ve potansiyel cezaların maliyeti
Hukuki, yönetmeliklerle ve sözleĢmelerle ilgili gerekliliklere uyumla ilgili cezalar
Hukuki, yönetmeliklerle ve sözleĢmelerle ilgili gerekliliklere uyumla ilgili cezalar
3.1.11
Kontrol baĢarısızlıkları, muhtemelen Ģirket saygınlığının yanında para kaybına, rekabet konumunda geri düĢmeye, güven
kaybına veya itibar kaybına yol açabilir. BS Denetçisi, risklere karĢı muhtemel önlemleri değerlendirmelidir.
4.
RAPORLAMA
4.1
4.1.1
Raporlanabilir Konuların Tanımlanması
BS Denetçisi, bulguları, sonuçları ve rapor edilecek önerileri belirlerken hem bulunan hataların önemliliği hem de kontrol
zayıflığından kaynaklanabilecek hataların muhtemel önemliliğini göz önünde bulundurmalıdır.
Denetimin, yönetim tarafından BS kontrolleri ile ilgili güvence ifadesi elde etmek için kullanıldığı yerlerde, kontrollerin yeterliliği
üzerinde nitelikli olmayan bir fikir, yerindeki kontrollerin genel olarak kabul edilen kontrollerle uyum içerisinde olduğu, önemli
kontrol zayıflıklarının bulunmadığı anlamına gelmelidir
Eğer kontrol sonuçlarının olmayıĢı kontrol amaçlarının karĢılanacağına dair makul güvence sağlamıyorsa, önemli ve
raporlanabilir. bir kontrol zayıflığı olarak değerlendirilmelidir. BS Denetçisi, eğer denetiminde önemli bir kontrol zayıflığını
tanımlarsa, denetim amacıyla ilgili olarak destekleyici ya da karĢıt bir görüĢ sunmalıdır.
BS Denetçisi, denetimin amaçlarına bağlı olarak önemli olmayan zayıflıkları, özellikle kontrolleri güçlendirme maliyetleri
düĢükse yönetime rapor etmeyi düĢünmelidir.
4.1.2
4.1.3
4.1.4
5.
5.1
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimlerinde 1 Eylül 1999 tarihinden itibaren yürürlüktedir. Rehber incelenmiĢ ve güncellenmiĢtir,
yürürlük tarihi 1 Mayıs 2008‘dir.
44
G7 Mesleki Özen Beklentisi
1.
1.1
1.1.1
1.1.2
1.1.3
1.1.4
1.1.5
1.2
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5.
1.2.6
1.2.7
1.3
1.3.1
1.3.2
1.3.3
ARKA PLAN
Standartlarla Bağlantı
S3 Mesleki Etik ve Standardı: ―BS Denetçisi, denetim yaparken ISACA Meslek Etik Kurallarına bağlı kalmalıdır.‖.
Ģeklinde ifade eder.
S3 Mesleki Etik ve Standardı:―BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını
gözeterek gereken mesleki özeni göstermelidir. ġeklinde ifade eder..
S2 Bağımsızlık Standardı :Denetimle ilgili bütün konularda, BS Denetçisi hem tavır hem de görünüĢ olarak denetlenen
kurumdan bağımsız olmalıdır.‖Ģeklinde ifade eder.
S4 Mesleki Yeterlilik Standardı: ―.BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki
açıdan yeterli olmalıdır. BS Denetçisi, sürekli mesleki eğitim almak suretiyle mesleki yeterliğini devam ettirmek
durumundadır.‖ Ģeklinde ifade eder.
BS Denetçisi ek yol göstericilik için yukarıdaki standartların yorum bölümlerine baĢvurmalıdır.
COBIT Bağlantısı
PO6 Amaçların ve yönün yönetime iletilmesi , doğru, anlaĢılır ve onaylanmıĢ politikalar, usuller, rehberler ve BT kontrol
çerçevesinde yer alan paydaĢlara diğer belgelere odaklanarak mevcut ve gelecekteki BT hizmetleri, ilgili riskler ve
sorumlulukları konusunda doğru ve zamanlı bilgi için BT‘nin iĢ gereksinimlerini sağlar.
PO7 BT insan kaynakları yönetimi , BT hizmetlerinin, hizmetleri oluĢturacak ve sunacak güdülenmiĢ ve uzman kiĢiler için
personelin iĢe alarak ve eğiterek, doğru bir kariyer yoluyla teĢvik ederek, yetenekleriyle örtüĢen roller vererek, tanımlanmıĢ
bir inceleme süreci oluĢturarak, görev tanımları yaratarak ve kiĢisel bağımlılıkların farkındalığının sağlanmasına odaklanarak
iĢ gereksinimlerinin giderilmesini sağlar.
PO9 BT risklerini değerlendirme ve yönetimi, iĢ ve operasyonel risk yönetim çerçevesi, risk değerlendirme, risklerin
azaltılması ve kalıtsal risklerin iletilmesinin entegre eden bir risk yönetimi çerçevesinin geliĢtirilmesi konusuna odaklanarak,
BT risklerinin ve bunların iĢ süreçlerine muhtemel etkilerinin analizi ve iletiĢimi için gereken BT‘lerin iĢ gereksinimlerini
karĢılanmasını sağlar.
ME3 DıĢ gerekliliklerle uyumluluğun sağlanması , bütün yürürlükteki kanunlar ve sözleĢmeler, BT uyumunun seviyesinin
sağlanması, uyumsuzluk riskini azaltacak BT süreçlerinin optimizasyonun tanımlanmasına odaklanarak BT‘nin yasa,
yönetmelik ve sözleĢmelerden doğan yükümlülüklerinin yerine getirilmesi için iĢ gereksinimlerini sağlar.
ME4 BT YönetiĢimini Sağlama,, ―Kurumsal yönetiĢim hedefleriyle BT yönetiĢiminin entegrasyonu için iĢ
Gereksinimlerini, BT stratejileri konusundaki hazırlanan yönetim kurulu raporlarına odaklanarak kanun ve
düzenlemeler ile uyumun baĢarılması, gerçekleĢtirme ve riskler ve yönetim kurulunun talimatları doğrultusunda
yönetiĢim gereksinimlerine verilecek cevabı sağlar‖.
Ġkincil Kaynaklar:










PO1 Stratejik bir BT planı tanımlama


Birincil: Güvenilirlik, gizlilik, bütünlük, uyum ve etkililik
PO5 BT yatırımını yönetimi
PO8 Kalite yönetimi
PO10 Projeleri yönetimi
AI1 Otomatik çözümleri tanımlama
AI6 DeğiĢiklik yönetimi
DS3 Performans ve kapasite yönetimi
DS7 Kullanıcı eğitimi ve yetiĢtirilmesi
DS9 Konfigürasyon yönetimi
DS10 Sorun yönetimi
En çok ilgili olan bilgi kıstasları Ģunlardır:
Ġkincil: Etkenlik ve eriĢilebilirlik
Rehber Gereksinimi
Bu Rehberin amacı, S3 BS Denetim Standardıyla uyumlu bir denetimin gerçekleĢtirilmesinde uygulanması gereken ―mesleki
özen beklentisi ―kavramını açıklamaktır.
ISACA üyeleri ve sertifika sahiplerinden, ISACA Meslek Etik Kurallarına uymaları beklenir; gerekirse uymayanlar hakkında
yasal iĢlem yapılması ve sonucunda disiplin yaptırımı uygulanması gerekebilir.
Bu rehber, kiĢisel ve mesleki özenle görevlerin yürütülmesi konusunda BS Denetim Standartlarına ve ISACA Meslek Etik
Kurallarına uyumda beklenen dikkatin ve mesleki özenin gösterilmesinde yol göstericilik sağlar.
2.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
2.1
2.1.1
Gereken Mesleki Özen
Beklenen mesleki özen standardı, belirli durumlarda yetkin ve basiretli bir uzmanın uygulayacağı seviyedir. Beklenen mesleki
özen, BS Denetimi gibi özel bir beceriyi uygulayan bir bireysellik gerektirir. Beklenen mesleki özen, bu özellikleri uygulayan
kiĢilerin genelde sahip oldukları becerilerin kullanılmasını gerektirir.
Beklenen mesleki özen, yapılan iĢ sırasında mesleki hüküm verme becerilerinin kullanılmasına iĢaret eder. Beklenen mesleki
özen, gereken dikkatle mesleki hüküm verme becerilerinin kullanılmasını ifade eder.
Beklenen mesleki özen, denetimin her aĢamasına, denetim riskinin değerlendirilmesi, denetim görevlerinin kabulü, denetim
amaçlarının belirlenmesi, denetim kapsamının oluĢturulması, denetimin planlanması, denetimin uygulanması, kaynakların
denetime dağılımı, denetim testlerinin seçilmesi, test sonuçlarının değerlendirilmesi, sonuçlara varılması, denetim
sonuçlarının raporlanması ve teslimi kapsamalıdır. Bunları yaparken BS Denetçisi aĢağıdakileri belirlemeli ve
değerlendirmelidir:
2.1.2
2.1.3
45
G7 Mesleki Özen Beklentisi(Devam)




2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
2.1.10
3.
3.1
Denetim amaçlarını karĢılaması için gereken denetim kaynaklarının çeĢidi, seviyesi, beceri sınıfı ve yeterliliği
TanımlanmıĢ risklerin önemi ve bu risklerin denetim üzerindeki muhtemel etkileri
Toplanan denetim kanıtı
BS Denetçisinin çalıĢmalarına güvendiği diğer kiĢilerin yeterlilik, bütünlük ve sonuçlarına güvenmesi,
BS Denetçisi, BT görevinin yürütülmesiyle ilgili bütün noktalarda bağımsız ve tarafsız bir tutum sergilemelidir. Denetçi,
denetim konularında ve sonuçlara varmada dürüst, tarafsız ve ön yargısız görünmelidir.
BS Denetçisi, mesleki standartlarla, yasal emredici zorunluluklar ve düzenlemelerle uyum içerisinde denetimini, dikkatle
yürütmelidir. BS Denetçisi, BS Denetim görevinin BS Denetim standartları, diğer mesleki ve endüstri standartları ile uyum
içerisinde tamamlanacağına ve mesleki bir fikir vereceğine dair makul bir beklenti içinde olmalıdır. BS Denetçisi, herhangi bir
uyumsuzluk durumunu, denetim sonuçlarını duyururken tutarlı bir biçimde açıklamalıdır.
BS Denetçisinin, yönetimin kendi sorumluluklarını ve yükümlülüklerini anladığına ve denetim sırasında gereken kiĢilerle
iĢbirliğini sağlayacağına ve gereken bilgilerin vereceğine dair bir güvencesi olmalıdır.
BS Denetçisi, paydaĢların çıkarlarını gözetirken hukuki ve dürüst bir tavır içinde olmalıdır ve yüksek standartta bir kiĢilik
sergilemeli ve mesleki profesyonellikle uygunsuz düĢecek herhangi bir duruma düĢmemelidir.
BS Denetçisi, görevi sırasında, yasal makamlarca istenmedikçe elde ettiği bilgilerin mahremiyetini ve gizliliğini sağlamalıdır.Bu
bilgileri, kiĢisel çıkarlar için kullanılmamalı veya uygunsuz kiĢilere açıklamamalıdır..
BS Denetçisi, gerçekleĢtirilen iĢin sonuçlarını uygun kiĢilere duyururken gereken mesleki özeni göstermelidir.
Denetim raporunun verileceği kiĢilerin beklentisi, BS Denetçisinin, denetim boyunca gereken mesleki özeni göstermiĢ
olmasıdır. BS Denetçisi, yeterli beceri, bilgi ve diğer kaynaklar olmadıkça bir profesyonelden beklenen bir biçimde, ilgili
görevi kabul etmemelidir.
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimleri için 1 Eylül 1999 tarihinden itibaren etkindir. Rehber incelenmiĢ ve güncellenmiĢtir, geçerlilik
tarihi 1 Mart 2008‘dir.
46
G8 Denetimin Kanıtlarının Belgelendirilmesi
1.
1.1
1.1.1
1.1.2
1.1.3
1.1.4
1.1.5
1.2
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.2.6
1.2.7
ARKA PLAN
Standartlarla Bağlantı
S5 Planlama Standardı:BS Denetçisi, denetimin doğasını ve hedefleri, zamanlaması ve kapsam ve hedeflerini ve
gerekli kaynakların ayrıntılarını listeleyen denetim planını geliĢtirmeli ve belgelendirmelidir.‖Ģeklinde ifade eder.
S6 Denetim ĠĢinin Yürütülmesi Standardı: Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.Denetim süreci, yapılan denetimi ve BS Denetçisinin bulgu ve sonuçlarını
destekleyen denetim kanıtını gösterir bir biçimde dosyalanmak zorundadır.‖ Ģeklinde ifade eder.
S7 Raporlama Standardı:BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır.
Denetim raporu, yürütülen denetim iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve
sınırlarını ortaya koymalıdır. Rapor, BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini,
sahip olduğu çekincelerini, niteliklerini veya sınırlandırmalarını belirtmelidir.‖ Ģeklinde ifade eder.
S12 Denetim Gerekliliği Standardı:‖BS Denetçisinin raporu, yetersiz kontrollerin olması veya kontrollerin olmaması ve
kontrol hatalarının önemini ve bu zayıflıklardan kontrol hatalarının ve ciddi zayıflıkların kaynaklanma muhtemellığını
açıklamalıdır.‖ Ģeklinde ifade eder.
S13 Diğer Uzmanların ÇalıĢmalarının Kullanımı Standardı: ―BS Denetçisi, diğer uzmanların çalıĢmalarının, BS
Denetçisine güncel denetim hedefleri hakkında sonuca varmaya sağlamada yeterli ve tam olup olmadığını saptamalı
ve sonuçlandırmalıdır. Varılan sonuç açık bir biçimde belirtilmelidir.‖ Ģeklinde ifade eder.
COBITT Bağlantısı
PO1 Stratejik BT Planı Tanımlama, ġeffaf ve etkili bir Ģekilde hizmetleri sunmak için iĢ gereksinimlerinin hizmet sunumuna
ve strateji geliĢtirilmesine dönüĢtürülmesinde, iĢ yönetimi ve BT‘nin birleĢtirilmesine odaklanarak çıkarlar, maliyetler ve riskler
konusunda Ģeffaflık sağlarken, BT yönetiĢim gereksinimlerini ve iĢ stratejilerinin kapsanması ve sürdürülmesi için iĢ
gereksinimlerini karĢılar.
PO8 ―Kalite yönetimi‖ , kalite yönetim sisteminin tanımlanması, önceden tanımlanan hedeflere karĢı performansın sürekli
izlenmesi ve BT servislerinin sürekli geliĢtirilmesi için bir program uygulanması konusuna odaklanarak sunulan BT
hizmetlerinin kalitesinin sürekli ve ölçümünün geliĢtirilmesi için iĢ gereksinimlerini sağlar.
AI6 DeğiĢiklik yönetimi , etki değerlendirmesinin kontrolü, altyapıda bütün değiĢikliklerin onaylanması ve uygulanması,
uygulamalar ve teknik çözümler, istenen özelliklerin eksik olmasından kaynaklı hatalar, yetkisiz değiĢikliklerin uygulamaları
durdurması konularına odaklanarak hizmet sunumu hatalarının ve çözümlerinin azaltılarak ve yeniden iĢler hale getirilirken ,iĢ
stratejisiyle iĢ gereksinimlerinin uyumunun sağlanmasında BT‘nin iĢ gereksinimlerini sağlar.
DS1 Hizmet belirleme ve yönetimi , hizmet gereksinimlerinin tanımlanmasına, servis seviyesi konusunda anlaĢmaya ve
servis seviyelerinin baĢarılmasının izlenmesi konusunda odaklanarak önemli BT hedefleri ile iĢ stratejisinin uyumunun
sağlanması için BT iĢ gereksinimlerini sağlar.
ME2 Ġç kontrol izleme ve değerlendirme , BT ile ilgili faaliyetler ve geliĢtirici faaliyetlerin izlenmesine odaklanarak BT
hedefleri ve BT ile ilgili yasalar ve düzenlemelerle uyumun baĢarılmasının korunması için BT iĢ gereksinimlerini sağlar.
ME3 Düzenlemelerle uyumu sağlama, bütün yürürlükteki kanunlar ve sözleĢmeler, BT uyumunun seviyesinin sağlanması,
uyumsuzluk riskini azaltacak BT süreçlerinin optimizasyonun tanımlanmasına odaklanarak BT‘nin yasa, yönetmelik ve
sözleĢmelerden doğan yükümlülüklerinin yerine getirilmesi için iĢ gereksinimlerini sağlar.
En ilgili bilgi kıstasları Ģunlardır:


1.3
1.3.1
1.3.2
2.
2.1
2.1.1
2.1.2
Birincil: Güvenilirlik, eriĢilebilirlik, verimlilik ve bütünlük
Ġkincil: Etkinlik ve gizlilik
Rehber Gereksinimi
Bu yönetmeliğin amacı, BS Denetçisinin denetimi desteklemek için hazırlaması gereken belgelendirmeyi tanımlamaktır.
Bu yönetmelik BS Denetim standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartların
uygulanması sırasında bunları göz önünde bulundurmalı ve mesleki yargılarını kullanmalı ve herhangi bir sapmayı
gerekçelendirmeye hazırlıklı olmalıdır.
PLANLAMA VE PERFORMANS
Belgelendirmenin Ġçeriği
BS Denetim belgelendirmesi, gerçekleĢtirilen denetim iĢinin bir kaydı ve BS Denetçisinin bulgularını, sonuçlarını ve önerilerini
destekleyen denetim kanıtlarıdır. Denetim belgelendirmesi, tam, açık, yapılandırılmıĢ, dizinlenmiĢ ve inceleyen kiĢinin kolayca
kullanıp anlayacağı biçimde olmalıdır. Belgelendirmenin muhtemel kullanımı aĢağıdakileri içerir fakat bunlarla sınırlı değildir:







BS Denetçisinin, BS Denetim Standartlarıyla uyum derecesinin göstergesi

Önceki denetim belgelendirmelerinin incelenmesi
Denetim performansının, her denetim yönetmeliği baĢına gereksinimleri karĢılama göstergesi
Denetimlerin planlama, performans ve incelenmelerinde yardım
Üçüncü kiĢilerin incelemelerinin kolaylaĢtırılması
BS Denetim iĢlevinin kalite güvencesi programının değerlendirilmesi
Sigorta istemleri, yolsuzluk durumları, itirazlar ve hukuki davaların ortaya çıkmasında destek
Personelin mesleki geliĢimi konusunda yardım
Belgelendirme asgari olarak Ģunların kaydını içermelidir:
47
G8 Denetimin Kanıtlarının Belgelendirilmesi (Devamı)
2.1.3

Denetim kapsamı ve amaçların planlanması ve hazırlanması. BS Denetçileri, inceleme konusu olan çevre, satıcı desteği,
ürün, iĢ süreci, iĢ alanı ve endüstri konusunda bir anlayıĢa sahip olmalıdır.



Yönetim inceleme toplantılarının, denetim komitesi toplantılarının ve diğer denetimle ilgili toplantıların tutanakları



Denetim bulguları, sonuçları ve önerileri
Denetim hedeflerini gerçekleĢtirecek denetim programı ve denetim usulleri
Kontrollerin zayıflığını veya kuvvetliliğini değerlendirmek için gerçekleĢtirilen denetim basmakları ve toplanan denetim
kanıtı
Denetim iĢinin bir sonucu olarak yayınlanan her türlü rapor
Denetim incelemesi
BS Denetçisinin belgelendirme sınırları ilgili denetim gereksinimlerine bağlıdır ve aĢağıdaki gibi noktaları içermelidir:








BS Denetçisinin denetlenecek alanlar ve çevreleri hakkında bilgi sahibi olması
BS Denetçisi, bilgi iĢleme sistemleri ve iç kontrol ortamı hakkında (aĢağıdaki maddeler dahil) bilgi sahibi olması:





Kontrol ortamı
Kontrol usulleri
Risk değerlendirme belirlemesi
Risk değerlendirme kontrolü
Toplam risk eĢitleme
Denetim belgelendirmesinin kaynağı - yazarı - tamamlanma tarihi
Kontrol yeterliliğini değerlendirme yöntemleri, kontrol zayıflığı veya kontrol eksikliği durumunun var olması ve kontrol
eksikliği giderme sürecinin tanımlanıĢı
Denetim kanıtı, denetim belgelendirme kaynağı ve tamamlanma tarihi (aĢağıdakiler dahil):


Test politikalarına, usullere ve görev ayrılığına dayalı uyum testleri,
Çözümleyici usullere, ayrıntılı test hesap mutabakatlarının testi ve diğer dayanıklı denetim usullerine dayalı
sağlamlık testleri
Ġlgili kiĢiden alınmıĢ denetim raporu ve bulguların alındı belgesi
Denetlenenin önerilere verdiği cevabı
2.1.4
2.1.5
Özellikle belgelendirmenin elektronik ortamda bulunduğu durumlarda sürüm kontrolü
Belgelendirme, kanunen gerekli uygun bilgileri, hükümet düzenlemelerini ve yürürlükteki standartları kapsamalıdır.
Belgelendirme, inceleme ve onay için denetim komitesine verilmelidir
3.
BELGELENDĠRME
3.1
3.1.1
Koruma, Belleğe Alma ve Yeniden Kullanma
Politikalar ve usuller, denetim bulgularının ve sonuçlarının yasalara ve kurumun gereksinimlerine uygun bir süre boyunca
korunması ve bellekte tutulmasını sağlayacak biçimde olmalıdır.
Belgelendirme, yukarıda tanımlanan politika ve usullere uyacak biçimde uygun biçimlerde korunmalı ve gerektiğinde yeniden
kullanılabilecek bir biçimde tutulmalıdır.
3.1.2
4.
4.1.
YÜRÜRLÜK TARĠHĠ
Bu gözden geçirilmiĢ rehber bütün BS Denetimleri için 1 Eylül 1999 tarihinden itibaren etkindir. Rehber incelenmiĢ ve
güncellenmiĢtir, geçerlilik tarihi 1 Mart 2008‘dir.
48
G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S3 Mesleki Etik ve Standardı:―BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını
gözeterek gereken mesleki özeni göstermelidir.‖ Ģeklinde ifade eder.
S5 Planlama Standardı:‖BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve
yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder.
S6 Denetim ĠĢinin Yürütülmesi Standardı ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖Ģeklinde ifade eder.
S7 Raporlama Standardı: ―BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır.
Rapor, kurumu, hedeflenen alıcıları ve dağıtım sınırlamalarını tanımlamalıdır. Denetim raporu, yürütülen denetim
iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve sınırlarını ortaya koymalıdır. Rapor,
BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini, niteliklerini
veya sınırlandırmalarını belirtmelidir. ― Ģeklinde ifade eder.
S9 Aykırılıklar ve YasadıĢı Hareketler Standardı, BS Denetçilerinin Aykırılıklar ve YasadıĢı Hareketler ile ilgili gereksinimlerini
ve varsayımlarını açıklar.
1.1.2
1.1.3
1.1.4
1.1.5
1.2
1.2.1
1.2.2
1.2.3
1.2.4
1.3
1.3.1
1.3.2
2.
2.1
2.1.1
COBIT Bağlantısı
Belirli bir denetim kapsamına uygulanacak COBIT‘teki en çok ilgili materyalinin seçilmesine, belirli COBIT BT sürecinin
seçimine ve COBIT kontrol hedefleri ve ilgili yönetim uygulamalarına seçimine dayanır. BS Denetçileri, aykırılıklar ve yasadıĢı
hareketlerle ilgili denetim varsayımlarının karĢılanması için COBIT‘teki en ilgili, seçilmiĢ ve uyarlanmıĢ olan en ilgili süreçler
burada birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uyarlanacak olan süreç ve kontrol amaçları, görevin belirli
kapsam ve sözleĢme Ģartlarına bağlı olarak değiĢebilir.
Birincil COBIT kaynakları Ģunlardır:









PO5 BT yatırım yönetimi






PO3 Teknolojik yönelimi belirlemek


Birincil: Uyum, gizlilik, bütünlük ve eriĢilebilirlik
PO7 BT insan kaynaklarının yönetimi
PO9 BT riskler analizi ve yönetimi
PO10 Proje yönetimi
AI1 Otomatik çözümlerin tanımlanması
AI5 BT kaynaklarının sağlanması
ME2İç kontrollerin izlenmesi ve değerlendirilmesi
ME3Düzenlemelere uyum sağlamak
ME4BT yönetişimini sağlamak
Ġkincil COBIT kaynakları Ģunlardır:
PO4 BT sürecini, kurum ve iliĢkileri belirlemek
PO8 Kalite yönetimi
DS7 Kullanıcıların eğitimi ve yetiĢtirilmesi
DS10 Sorun yönetimi
ME1 BT performansının izlenmesi ve değerlendirilmesi
En ilgili COBIT bilgi kıstasları Ģunlardır:
Ġkincil: Güvenilirlik, verimlilik ve etkililik
Rehber Gereksinimi
Bu rehberin amacı, BS Denetçilerine denetim görevinin yürütülmesi esnasında karĢılaĢacakları aykırılıklar ve yasadıĢı
faaliyetlerin üstesinden gelmesinde rehberlik sağlamaktır.
S9 Aykırılıklar ve YasadıĢı Hareketler Standardı, BS Denetçilerinin Aykırılıklar ve YasadıĢı Hareketler ile ilgili gereksinimler ve
varsayımlar konularını ayrıntılandırır. Bu rehber, BS Denetim standartlarının uygulanması konusunda yol göstericilik sağlar.
BS Denetçisi, önceden tanımlanmıĢ standartların uygulamasının baĢarılması, uygulamada profesyonel mesleki yargının
kullanımı ve herhangi bir sapmayı gerekçelendirmeye hazırlıklı olmalıdır.
TANIMLAR
Sahtekârlık Amaçlı Olmayan Aykırılıklar
Bütün aykırılıklar, sahtekârlık olarak düĢünülmemelidir. Sahtekârlık amaçlı faaliyetlerin belirlenmesi denetimle ilgili yasal
tanımlara bağlıdır. Aykırılıklar, sahtekârlığın devamını saklamak amacıyla kontrollerin kasıtlı olarak önlenmesi, hizmetlerin ve
kaynakların yetkisiz kullanımı veya bu tür etkinliklere yardım ve yataklık etmek gibi davranıĢları kapsar fakat bunlarla sınırlı
değildir. Sahtekârlık amaçlı olmayan aykırılıklar Ģunları içerebilir:





Mevcut yönetim politikalarının kasıtlı ihlali
Düzenleyici kuralların kasıtlı ihlali
Denetim altındaki alanla ilgili bilgilerin kasıtlı saptırılması
Toptan ihmal
Kasıtlı olmayan yasadıĢı hareketler
49
G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı)
2.2
2.2.1
Aykırılıklar ve YasadıĢı Hareketler
Aykırılıklar ve YasadıĢı Hareketler, aĢağıdakileri içerebilir, ancak bunlarla sınırlı değildir:


YasadıĢı fayda sağlamak için yanıltıcı herhangi bir durumun kullanıldığı yolsuzluk yapılması

Kurumun bankalar, tedarikçiler, satıcılar, hizmet sağlayıcılar ve hissedarlar gibi üçüncü taraflarla olan anlaĢma ve
sözleĢmelerine aykırılık içeren hareketler








BT sistemlerinin ilgili yasa ve yönetmeliklerle uyumunu sağlamada baĢarısız olmaları dahil olmak üzere yasa ve
yönetmeliklere aykırılığı içeren hareketler
Ġster basılı ister elektronik ortamda olsun kayıt veya belgelerin üretilmesi, değiĢtirilmesi veya sahtesinin yapılması,
tahrifat yapılması.
Ġster basılı ister elektronik ortamda olsun kayıtlar veya belgelerden iĢlemlerin etkilerinin gizlenmesi veya ihmal edilmesi
Gizli bilgilerin kasıtlı veya kasıtsız sızdırılması
Ġster basılı ister elektronik ortamda olsun, asılsız olduğu bilinen mali veya diğer kayıtların kaydedilmesi,
BS veya BS-dıĢı kaynakların kötüye kullanımı veya zimmete geçirilmesi,
Kasıtlı olsun yada olmasın telif hakkı, ticari marka veya patent gibi fikri mülkiyet haklarını (IP) ihlal eden hareketler,
Bilgi ve sistemlere yetkisiz giriĢe izin verilmesi
Veri ve sistemlere yetkisiz giriĢten kaynaklanan mali veya diğer kayıtlardaki hatalar
2.2.2
Bir hareketin yasadıĢı olup olmadığını belirlemek genellikle ya yasal açıdan yetkin bir bilirkiĢinin vereceği öneri ile veya bir
hukuk mahkemesinin vereceği bir kararla olanaklı olur.
3.
SORUMLULUKLAR
3.1
3.1.1
3.1.2
Yönetimin Sorumlulukları
Aykırılıklar ve YasadıĢı Hareketleri belirlemek ve önlemek temel olarak yönetimin sorumluluğudur.
Yönetim, Aykırılıklar ve YasadıĢı Hareketlerin, zamanında önlenmesi ve tespit edilmesi ile ilgili makul güvence sağlamak için
genellikle aĢağıdaki araçları kullanır:
3.1.3
3.1.4
3.2
3.2.1
3.2.2

Aykırılıklar ve YasadıĢı Hareketlerin önlenmesi ve tespit edilmesi için iç kontrollerin sisteminin tasarlanması,
uygulanması ve sürdürülmesi. Ġç kontroller, iĢlem incelenmesini, onay ve yönetim inceleme usullerini içerir.



ÇalıĢan yönetimini düzenleyen politikalar ve usuller
Aykırılıklar ve YasadıĢı Hareketlerle ilgili, olayların raporlanması, kayıt tutulması ve yönetimi ne uygun sistemleri
tasarlamak, uygulamak ve sürdürmek.
Yönetim, eğer bir önlem almıĢ ise Aykırılıklar ve YasadıĢı Hareketlerle her türlü iddia, Ģüphe, eylem olup olmadığının bilgisini
BS Denetçisine vermelidir.
Yönetim, herhangi bir Aykırılıklar ve YasadıĢı Hareketin iddiası, Ģüphesi yada tespit ettiği yerde;, araĢtırma ve soruĢturma
sürecine yardımcı olmalıdır.
BS Denetçilerinin Sorumlulukları
BS Denetçisi, yönetimin ve denetimin sorumluluklarının, aykırılıkları belirleme, önleme ve rapor etme bağlamında olmak
üzere, tüm denetim iĢlerinde bunların açıkça anlaĢılabilmesi için, hizmet sözleĢmesinde veya denetim yönetmeliğinde
tanımlandığına dikkat etmelidir. Bunun amacı, bu konuların bütün denetim görevlerinde iyice anlaĢılmalarını sağlamaktır. Bu
sorumlulukların, kurumun politikasını belirten belgelerde veya benzer iĢleve sahip belgelerde belirtilmiĢ olduğu durumlarda
denetim yönetmeliği bu durumu belirten bir ifadeyi içermek durumundadır.
BS Denetçisi, kontrol mekanizmalarının, aykırılıkları ve yasadıĢı hareketlerin ihtimalini tamamen yok etmediğinin bilincinde
olmalıdır. BS Denetçisi, aykırılıkların veya yasadıĢı hareketlerin risk oluĢma durumlarını değerlendirmek, tanımlanan
aykırılıkların etkisini değerlendirmek ve denetim görevinin doğasına uygun testleri tasarlamak ve uygulamaktan sorumludur.
BS Denetçisinden, makul olarak aĢağıdakileri tespit etmesi beklenebilir:


3.2.3
3.2.4
3.2.5
3.2.6
3.2.7
3.2.8
Ġzleme usulleri ve uyum onayı
Aykırılıklar veya yasadıĢı faaliyetlerin, bir bütün olarak tüm kurumda veya denetlenen alanda somut etkisini,
Ġç kontrol zayıflıklarının, somut önlenemeyen veya tespit edilemeyen aykırılıklar veya yasadıĢı faaliyetlere sebep
olmasını
BS Denetçisi, aykırılıklar veya yasadı faaliyetlerin önlenmesi ve tespitinden mesleki olarak sorumlu değildir. Bir denetim,
aykırılıkların tespit edilmesini garanti etmez. Bir denetim uygun biçimde planlanmıĢ ve gerçekleĢtirilmiĢ olsa bile aykırılıklar
tespit edilemeyebilir: Örneğin, çalıĢanlar arasında veya çalıĢanlar ve dıĢarıdan kiĢiler arasında gizli anlaĢmalar olabilir ya
yönetim yasadıĢı faaliyetlerin içerisinde bizzat olabilir. BS Denetçisi, bu durumları denetim yönetmeliği veya hizmet
sözleĢmesinde belirtmelidir.
BS Denetçisi, aykırılıklar veya yasadıĢılıklarla ilgili özel bir bilgisinin olduğu durumlarda, denetçi bunları araĢtırmak, tespit
etmek ve rapor etmek zorundadır.
BS Denetçisi, denetim komitesine (veya denk birimi), muhtemel aykırılıklar veya yasadıĢı hareketlerle ilgili bir yüksek risk
belirlediği zaman, hiçbirini net olarak tespit edemese bile, bilgilendirmelidir.
BS Denetçisi, aykırılıklar veya yasadıĢılıkların oluĢmasına yol açabilecek risk faktörlerini makul bir Ģekilde tanımlayabilecek
biçimde deneyimli[bilgili] olmalıdır.
BS Denetçileri, bütün denetim görevi boyunca konunun bağımsızlığını sağlamalıdırlar.
BS Denetçileri, BS Denetçilerinin sorumlulukları hakkında daha ayrıntılı bilgi için S9 Aykırılıklar ve YasadıĢı Hareketler
standardıyla iliĢkilendirmeleri gereklidir.
50
G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı)
4
4.1
4.1.1
RĠSK DEĞERLEMESĠ
Risk Değerlendirmesinin Planlanması
BS Denetçisi, aĢağıdaki uygun yöntemi kullanarak denetlenen alanıyla ilgili aykırılık veya yasadıĢılığın ortaya çıkması riskini
değerlendirmelidir. BS Denetçisi, bu değerlendirmeyi hazırlarken aĢağıdaki etmenleri göz önünde bulundurmalıdır:

Ortak etik değerler, kurumsal yapı, inceleme yeterliği, giderme ve ödül yapıları, ortak performans baskılarının sınırları,
kurum yönelimi gibi kurumsal özellikler

Kurumun tarihi, aykırılıklarla ilgili geçmiĢi ve aykırılıklar, sıklıkla yaĢanan aykırılık faaliyetleriyle ilgili bulguları iyileĢtirmek
ve en aza indirmek amacıyla yapılan faaliyetler,




Yönetimde, operasyonlarda veya BS Sistemlerinde ve kurumun stratejik yönelimindeki son değiĢiklikler








Yürürlükteki düzenleyici veya hukuki gereklilikler










4.1.1.
4.1.2
5.
5.1
5.1.1
5.1.2
Yeni stratejik ortaklıklardan kaynaklanan etkiler
Mevcut varlıklar, sunulan hizmetlerin çeĢitleri ve bunların aykırılıklara karĢı duyarlılıkları
Ġlgili kontrollerin güçlendirilmesi ve kontrollerden kaçınmak veya bunları atlatmak konusunda ilgili kontrollerin
değerlendirilmesi,
Ġhbar politikası, içerdekilerin bilgi ticareti politikası, çalıĢanların ve yönetimin uyacağı etik kurallar gibi iç politikalar,
PaydaĢ iliĢkileri ve finansal pazarlar
Ġnsan kaynakları yetenekleri
Gizlilik ve duyarlı piyasa bilgileri bütünlüğü
Önceki denetim bulgularının tarihçesi
Kurumun etkinlik alanındaki endüstri ve rekabet ortamı
DanıĢmanların ve kalite güvence takımlarının bulguları veya yönetimin özel soruĢturmalarının sonuçları gibi denetim
kapsamının dıĢında yapılan inceleme bulguları
Gündelik iĢler sırasında ortaya çıkan bulgular
Süreçlerin yazılı kayıtlar ve kalite yönetim sistemi
Denetlenen alanı destekleyen bilgi sistemlerinin karmaĢıklığı ve teknik bilgileri
Ana iĢ sistemlerinin, kurum içinde geliĢtirilen yazılımların varlığı, paket yazılımlarla karĢılaĢtırılması,
ÇalıĢanların iĢ tatminsizliğinin etkisi
Geçici çalıĢtırılanlar, dıĢ kaynaktan satın almalar, elden çıkarmalar ve yeniden yapılandırmalar.
Kolayca kötüye kullanılabilecek değerlerin varlığı
DüĢük kurumsal, mali ve/veya iĢletim performansı
Yönetimin etik değerlerle ilgili tutumu
Belli bir endüstriye has veya benzer kurumlarda ortaya çıkan aykırılıklar veya yasadıĢı hareketler
Risk değerlendirmesinde; sadece kurum ve sözleĢme konusuyla ilgili aĢağıdaki faktörler dikkate alınmalıdır; risk faktörleri
aĢağıdakileri kapsar:



Mali muhasebe kayıtlarını etkileyen aykırılıklar veya yasadıĢı hareketler




Kurumda, aykırılıklar veya yasadıĢı faaliyetlerin risk seviyesi ile ilgili düĢünceleri,
Mali muhasebe kayıtlarını etkilemeyen, fakat kurumu etkileyen aykırılıklar veya yasadıĢı hareketler
Kurumun kontrollerinin yeterliliğiyle ilgili diğer aykırılıklar veya yasadıĢı hareketler
BS Denetçisi, risk değerlendirmesi sürecinin planlanması ve uygulanmasının bir parçası olarak; yönetimden aĢağıdaki
maddeleri ilgili olarak bilgi istemelidir:
Kurumda, var olan yada olabilecek aykırılıklar veya yasadıĢı hareketlerle ilgili bilgiye sahip olup olmadıkları,
Aykırılıklar veya yasadıĢı hareketlerin riskinin nasıl izlediği ve yönetildiği,
Aykırılıklar veya yasadıĢı hareketlerin riskinin varlığı hakkında uygun paydaĢlara aktarılma iletilme konusunda hangi
süreçlerin oluĢturulduğu,
 Ulusal ve yerel yasalardaki Ģirket müĢavirliğiyle, risk komitesi ve denetim komitesinin iĢbirliği ve koordinasyon bilgisi
DENETĠM ĠġĠNĠN PLANLANMASI
Görevin Planlanması
BS Denetçisinin aykırılıklar ve yasadıĢı hareketleri belirlemek veya önlemek konusunda net bir sorumluluğu olmamasına
karĢın, BS Denetçisi yasadıĢı faaliyetler ve düzensizliklerin oluĢma riskini değerlendirmesine dayanarak tespit edici süreçleri
oluĢturmalıdır:
BS Denetçisi, görevi planlarken aĢağıdaki noktalarla ilgili bilgi elde etmelidir:






Kurumun iĢleyiĢ ve hedeflerine dair temel bir anlayıĢ
Ġç kontrol ortamı
ÇalıĢan yönetimiyle ilgili politika ve usuller
Uyum onayı ve usullerin izlenmesi
Kurumun çalıĢtığı ortamdaki yasal ve düzenleyici çevre,
Kurumu etkileyen yasa ve düzenlemelere uyumu izleme ve sağlamada kurumun kullandığı mekanizmalar
51
G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı)
5.2
5.2.1
5.2.2
5.2.3
5.2.1
Görev Usulü
BS Denetçisi, tanımlanan aykırılıklar ve yasadıĢı hareketlerle ilgili risk seviyesini göz önünde bulunduran iĢ süreçleri
tasarlamalıdır.
Planlama sırasında gerçekleĢtirilen diğer usullerin ve risk analizinin sonuçları, görev sırasında gerçekleĢtirilen usullerin
doğasını, sınırlarını ve zamanlamasını belirlemek amacıyla kullanılmalıdır.
BS Denetçisi, BT ve kullanıcı yönetiminden yasa ve düzenlemelere uyumla ilgili bilgiler istemelidir
BS Denetçisi, , makul güvencenin yeterli denetim kanıtı sağlamak için gerekli testlerin kapsamı, zamanlaması ve kapsamını
saptamak için risk değerlendirmesinin sonuçlarını kullanmalıdır. Bunlar:



5.3
5.3.1
5.3.2
5.3.3
6.
6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
6.1.8
6.2
Aykırılıkların, denetlenen alanda yada kurumun tamamında önemli olabilecek etkilerin tanımlanması
Önemli aykırılıkları tespit edilmesi veya önlenmesinde başarısız olan kontrol zayıflıkları,
İç kontrollerin tasarım ve uygulanmasındaki bütün önemli kusurların yayınlayıcıların kaydetme, işleme, özetleme ve
raporlarını iş verilerinin tanımlanmasını kabiliyetini etkileme ihtimali
Görev Usullerinin Sonuçlarının Değerlendirilmesi
BS Denetçisi, aykırılık veya yasadıĢı hareketlerin olup olmadığını belirlemek için görev süreçlerinin sonuçlarını incelemelidir.
Bu değerlendirme gerçekleĢtirildiğinde 4. kısımda tanımlanan risk faktörleri bütün tanımlanmıĢ risklerin ele alındığı makul bir
güvence sağlamak için bunlara karĢı uygulanan gerçek süreçleri gözden geçirmelidir.
Bu değerlendirmede, ayrıca belgelendirilmeyen risk faktörleri varsa saptanmalı tüm süreçlerin değerlendirme sonuçları dahil
edilmelidir.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
Muhtemel YasadıĢı Hareketlere KarĢılık Verme
Bir görev sırasında, aykırılıklar veya yasadıĢı faaliyetlerin bulunduğuna dair bazı bulgular BS Denetçisinin dikkatini çekebilir.
Eğer, yasadıĢı faaliyetlerin göstergeleri tanımlanabiliyor ise; BS Denetçisi bu durumun temel konuya, rapora ve kuruma
olabilecek muhtemel etkilerini dikkate almalıdır.
BS Denetçisi, muhtemel bir yasadıĢı hareketle ilgili bir bilginin farkına vardığı zaman, BS Denetçisi aĢağıdaki aĢamaları
izlemeyi dikkate almalıdır:




Söz konusu hareketin doğasıyla ilgili bilgi edinmek








OluĢabilecek aykırılıklar veya yasadıĢı hareketlerin türü
Söz konusu hareketin ortaya çıkma koĢullarını anlamak
Aykırılık veya yasadıĢı hareketin etkisini değerlendirmek için yeterli destekleyici bilgi elde etmek
Düzensizlik ve yasadıĢı faaliyetlerin etkisini yada baĢka yasadıĢı faaliyet bulunup bulunmadığını saptamak için ilave
incelemeler gerçekleĢtirmek,
BS Denetçisi, aykırılıklar veya yasadıĢı hareketlerin ve etkilerinin olup olmadığını tespit etmek amacıyla kurumda,
yönetim(eğer mümkün ise gereken uygun seviyenin üzerinde) dahil, uygun personelle çalıĢmalıdır (kurumun güvenlik
personeli gibi).
Yönetimin bir üyesini de aykırılığın içerisinde ise; BS Denetçisi, yönetim tarafından yapılan sunumların güvenilirliğini tekrar
değerlendirmelidir. BS Denetçisi, daha önce de belirtildiği gibi tipik olarak aykırılıklara veya yasadıĢı hareketlere karıĢmıĢ olan
yönetim üyesinin üstündeki kiĢilerle çalıĢmalıdır.
BS Denetçisi, aksi açıkça ortaya çıkmadığı sürece bir aykırılık veya yasadıĢı hareketin yalıtılmıĢ olmadığını varsaymalıdır.
BS Denetçisi, aykırılıklar veya yasadıĢı hareketlerin neden tespit edilip engellenemediği saptamak için kurumun mevcut iç
kontrollerinin bölümlerini de incelemelidir.
BS Denetçisi, kurumun iç kontrollerinin yeterliliğinin önceki değerlendirmelerini,
iĢleyiĢi ve etkinliğini yeniden
değerlendirmelidir.
BS Denetçisi, bir aykırılık veya yasadıĢı harekette bulunduğunu belirlediği yer ve durumlarda (olasılık veya gerçek olabilir),
BS Denetçisi görevin yürütülmesi esnasında tanımlanan konuları çözmek ve onaylamak için gerçekleĢtireceği usulleri
değiĢtirmelidir. Bu tür bir değiĢtirmenin ve ilave süreçlerin kapsamı, BS Denetçisinin aĢağıdaki konulara olan yargılarına
bağlıdır:
GerçekleĢme riski algısı
Kurumda, mali etkiler ve kurum itibarı gibi konuları kapsayan muhtemel etkisi
Benzer aykırılık veya yasadıĢı hareketlerin yineden yaĢanma ihtimali,,
Aykırılık veya yasadıĢı hareketlerden, yönetimin bilgisinin ve dahil olma ihtimali
Varsa, konuyla ilgili yetkili resmi kurumlar ve/veya yönetim tarafından yapılanlar
Yasa veya düzenlemelerle ilgili uyumsuzluğun kasıtsız olması ihtimali,
Uyumsuzluğun bir sonucunda para cezası, müeyyide, örneğin önemli bir lisansın geri alınması gibi bir müeyyide
olasılığının uygulanması ihtimali,
 Aykırılıkların sonucunda kamusal çıkarların(Amme menfaati) etkilenmesi
Aykırılık Bulunmasının Etkileri
BS Denetçisi, eğer aykırılıkları tespit etmiĢ ise, bu faaliyetlerin denetim hedeflerine ve toplanan denetim kanıtlarına olan
etkilerini değerlendirmelidir. Ayrıca, BS Denetçisi aĢağıdaki durumlarda denetime devam edip etmeyeceğini düĢünmelidir:


Aykırılıkların etkisinin yeterli ve güvenilir denetim kanıtı sağlayamayacak kadar çok önemli görünmesi,
Denetim kanıtının, yönetimin veya iç kontrollerde önemli rolleri bulunan çalıĢanların aykırılıklara katıldığı veya göz
yumduğu durumları kanıtların göstermesi.
52
G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı
6.3
Aykırılık Bulgusu Göstergelerinin Etkileri
6.3.1
BS Denetçisi, eğer denetim kanıtı aykırılıkların olmuĢ olabileceğini gösteriyorsa Ģunları yapmalıdır:

6.4
6.4.1
7.
7.1
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
7.1.6.
7.2
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.2.6
Yönetime konunun soruĢturulması ve gereken adımların atılmasını önerebilir. BS Denetçisi yönetimin de aykırılığın bir
parçası olduğundan Ģüphelenirse, bu durumun rapor edileceği kurumdaki uygun sorumlu kiĢiyi belirlemelidir. BS
Denetçisi, eğer içsel rapor etme olanağı yoksa, kurum dıĢına bulguların raporlanmasını, denetim komitesine ve hukuk
birimine danıĢmayı düĢünmelidir.
 Denetim bulgularını, sonuçlarını ve önerilerini destekleyecek yeterli adımları atmak
Hukuki Varsayımlar
BS Denetçisi, eğer denetim kanıtı bir aykırılığın yasadıĢı bir hareketi içerdiğini gösteriyorsa doğrudan hukuki danıĢmanlık
almayı düĢünmelidir veya yönetime bunu önermelidir. BS Denetçisi, denetim yönetmeliğinde veya hizmet sözleĢmesinde
hukuki maliyetler için sorumluluklarının tanımlanmasını isteyebilir.
RAPORLAMA
Ġç Raporlama
Aykırılıkların tespiti halinde bu durum kurum içerisindeki ilgili kiĢiye ivedi olarak bildirilmelidir. Bu bildirim, kurum içerisinde ilgili
aykırılığa katılmıĢ olabileceğinden Ģüphelenilen kiĢinin hiyerarĢik olarak üst seviyesine yapılmalıdır. Ayrıca aykırılıklar, hem
finansal etkiler hem de kontrol göstergelerin yönünden açıkça önemsiz olanlar dıĢında, yönetim kuruluna, denetim komitesine
veya eĢdeğer kurula raporlanmalıdır. Eğer, BS Denetçisi yönetimin bazı kademelerinin de aykırılığa karıĢmıĢ olduğundan
Ģüphelenirse, yerel düzenlemeler ve kanunlara uygun Ģekilde bulgular kurumun, yönetim/idare kurulu, mütevelliler, denetim
komitesi gibi üst yönetim kademelerine iletilmelidir.
BS Denetçisi, bir aykırılığı veya yasadıĢı hareketi rapor ederken mesleki yargılarını kullanmalıdır. BS Denetçisi, bulguları ve
doğasını, zamanlamasını ilave prosedürlerin kapsamını, yönetimin uygun seviyesinde en az bir üst seviyede olan bir ilgili
olabilecek kiĢilerle konuĢmalıdır. Böyle durumlarda BS Denetçisinin tarafsız kalması önemlidir. BS Denetçisi, yasadıĢı bir
faaliyet veya aykırılığı rapor edeceği uygun kiĢileri saptarken, üst yönetimin de aykırılığa veya yasadıĢı harekete katılması
ihtimalide da dahil bütün ihtimalleri göz önünde bulundurmalıdır.
Raporların iç dağıtımı konusunda dikkatli davranılmalıdır. Aykırılıkların olması ve etkileri, duyarlı bir konudur ve kendi risklerini
bünyesinde barındırır. Bu riskler arasında aĢağıdakiler de yer alır:



Kontrol zayıflıkları yayınlanmıĢ olacağından dolayı bunların daha ileri derecede kötüye kullanılması


Kurum tarafından uyarlanmıĢ önemli politikalar ve uygulamalar




Yasa veya düzenleyici gereksinimlere uyum


Denetlenen yönetimin aykırılığa etkin katılımı
Kurum dıĢında raporların yayılmasından dolayı müĢteri, tedarikçi ve yatırımcıların kaybedilmesi
Yönetime duyulan güvenin azalmasından ve kurumun geleceğinin düĢüĢe geçmesi düĢüncesinden dolayı aykırılığa
bulaĢmamıĢ olan yönetimin anahtar kiĢilerinin veya önemli personelin kaybı
BS Denetçisi, raporun dağıtımına yardımcı olacaksa aykırılık ile diğer denetim konularından ayrı olarak rapor etmeyi de
düĢünmelidir.
BS Denetçisinin raporu aĢağıdakileri içermelidir:
Eğer genel kabul görmüĢ standartlardan sapma olmuĢsa, bu tür bir sapma için yönetimin sebepleri ve denetçinin bu
sapmalara iliĢkin fikirleri
BS Denetçisi, yasadıĢı harekete veya aykırılığa karıĢmıĢ kiĢileri uyarmaktan kaçınmalıdır, zira bu kiĢiler kanıtları ortadan
kaldırma ve karartma giriĢiminde bulunabilirler.
DıĢ Raporlama
DıĢ raporlama, yasalardan veya düzenlemelerden kaynaklanan bir zorunluluk olabilir. Zorunluluk, kurumun yönetimine veya
aykırılıkları belirlemekte görevli kimselere veya her ikisine dair olabilir. BS Denetçisi, yasadıĢı faaliyetler ve aykırılıkları
raporlamada kurumun sorumluluğunda baĢarısızlığı, muhtemel veya tanımlanmıĢ düzensizlikler yada aykırılıkların
raporlamasını kuruma karĢı olan görevinin gizliliği engeller. Bununla birlikte, belli durumlarda BS Denetçisinden bir aykırılık
veya yasadıĢı hareketi açıklaması istenebilir. Bu durumlarla ilgili olarak aĢağıdakileri kapsar:
DıĢ denetçi talepleri
Mahkeme celbi veya mahkeme emri
Devletin mali destek verdiği konularla ilgili denetimlerde fon sağlayan kuruluĢ veya hükümet birimi
DıĢ raporlama gerektiğinde, bu rapor kamuoyuna açıklanmadan önce denetim komitesinin uygun kademesince
onaylanmalıdır ve yasal bir engel yoksa denetlenen yönetim ile önceden gözden geçirilmelidir. Denetlenen yönetiminin görüĢ
birliğini almayı engelleyebilecek özel durumlara örnekler Ģöyledir:
Denetlenen yönetimin aykırılığı edilgen olarak kabullenmesi
Eğer denetlenen yönetim, raporun yayınlanmasına onay vermezse; dıĢ raporlama yasal veya düzenleyici bir zorunluluktur;
BS Denetçisi, raporlanan bulguları kurum dıĢına vermenin riskleri ve uygunluğu konusunda denetim komitesine ve hukuk
müĢavirliğine danıĢmayı düĢünmelidir. Bazı yargılamalarda, BS Denetçisi sınırlı ayrıcalıklarla korunabilir. Eğer ayrıcalıklı
olarak BS denetçi korunduğu yer ve durumlarda bile, ayrıcalıklı koruma durumunu sağlamak için açıklama türünü yapmadan
önce, BS Denetçisi, hukuki danıĢmanlık ve tavsiye almalıdır.
BS Denetçisi, denetim yönetiminin onayıyla raporu uygun zamanda uygun düzenleyicilere vermelidir. Eğer kurum bilinen bir
aykırılığa veya yasadıĢı bir hareketi açıklamazsa veya denetçiden bunun gizlemesini isterse BS Denetçisi hukuki danıĢmanlık
ve tavsiye baĢvurmalıdır.
BS Denetçisi, yönetimin hileli faaliyetlerini kurum dıĢına rapor etmesi gerektiğini farkında olduğu yer ve durumda, Denetçi bu
sorumluluğu konusunda yönetime resmen önermelidir.
Eğer dıĢ denetim takımının üyesi olmayan bir BS Denetçisi tarafından bir aykırılık belirlenmiĢse, bu durumda BS Denetçisi
raporu dıĢ denetçilere ivedi olarak vermeyi düĢünmelidir.
53
G9 Aykırılıklar ve YasadıĢı Hareketlere Denetim YaklaĢımı(Devamı)
7.3
7.3.1
8
8.1
Denetim Kapsamının Sınırlandırılması
BS Denetçisi, denetim kapsamının sınırlandırıldığı durumlarda bu sınırlamanın doğasını ve etkisini denetim raporunda
açıklamalıdır. Bu tür bir sınırlandırma Ģu durumlarda olabilir:

BS Denetçisi, güvenilmez denetim kanıtı, kaynak eksikliği veya yönetim tarafından denetim faaliyetlerine getirilen
sınırlandırmalar yüzünden asıl denetim hedeflerini baĢarmak için gerekli olan ilave çalıĢmaları yerine getiremediği
durumlarda

BS Denetçisi tarafından önerilen soruĢturmanın yönetim tarafından yerine getirmediği durumlarda
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimleri için 1 Mart 2000 tarihinden itibaren etkindir. Bu rehber gözden geçirilmiĢ ve güncellenmiĢtir,
yürürlük tarihi 1 Eylül 2008 olan G19 Aykırılıklar ve YasadıĢı Hareketler Rehberi ile birlikte ele alınmıĢ ve daha sonra bu
standardın yerini almıĢtır.
54
G10 Denetim Örneklemesi
1.
1.1
1.2
1.2.1
1.2.2
1.2.3
1.2.4
ARKA PLAN
Standartlarla Bağlantı
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak
için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.
COBIT Bağlantısı
Belirli bir denetimin kapsamına uyacak COBIT‘teki en uygun materyalinin seçilmesi, COBIT‘teki belirli BT sürecinin
seçilmesine ve COBIT kontrol hedeflerinin dikkate alınması ve ilgili yönetim uygulamalarına dair varsayımlara bağlıdır. BS
Denetçilerinin denetim örnekseme gereksinimlerini karĢılamak için CobIT‘teki en ilgili olabilecek süreç, seçilmiĢ ve birincil ve
ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreç ve kontrol hedefleri, görevin belirli kapsam ve denetim
sözleĢmesine bağlı olarak değiĢebilir.
ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi, BT ile ilgili faaliyetler ve geliĢtirici faaliyetlerin izlenmesine odaklanarak
BT hedefleri ve BT ile ilgili yasalar ve düzenlemelerle uyumun baĢarılmasının korunması için BT iĢ gereksinimlerini sağlar.
ME3 Düzenlemelerle uyumun sağlama , , bütün yürürlükteki kanunlar ve sözleĢmeler, BT uyumunun seviyesinin
sağlanması, uyumsuzluk riskini azaltacak BT süreçlerinin optimizasyonun tanımlanmasına odaklanarak BT‘nin yasa,
yönetmelik ve sözleĢmelerden doğan yükümlülüklerinin yerine getirilmesi için iĢ gereksinimlerini sağlar.
Birincil kaynaklar Ģunlardır:





1.2.5
PO8 Kalite yönetimi
PO9 BT Risklerinin değerlendirmesi ve yönetilmesi
AI6 DeğiĢikliklerin yönetilmesi
ME2 Ġç kontrollerin izlenmesi ve değerlendirilmesi
ME3 Düzenlemelerle uyumun sağlanması
En ilgili bilgi kıstasları Ģunlardır:


Birincil: Etkinlik, bütünlük, güvenilirlik ve uyum
Ġkincil: Gizlilik, verimlilik ve eriĢebilirlik
1.3
Rehber Gereksinimi
1.3.1
Bu Rehberin amacı, BS Denetçisine bir denetim örneklemesi tasarlamak, seçmek ve örneklem sonuçlarını değerlendirmek
için yol göstericilik sağlamaktır. Uygun örnekleme ve değerlendirme, ‗yeterli, güvenilir, ilgili ve faydalı kanıt‘ ve ‗uygun
analizle desteklenme‘ ihtiyacını karĢılayacaktır.
BS Denetçisi, uygunluk ve maddi doğruluk testlerini gerçekleĢtirmek için istatistiki olarak temsili örneklemeyle sonuçlanacak
tekniklerin seçimini düĢünmelidir.
Uyum testlerinin örneklemesi, kullanıcı eriĢim haklarını, program değiĢim kontrol usullerini, usul belgelendirmesini, program
belgelendirmesini, istisnaları izleme usulünü, bilgisayar kayıtlarının incelenmesini ve yazılım lisanslarının denetimini içermesi
düĢünülmelidir.
Maddi doğrulama testleri örnekleri, eğer örnekleme düĢünülüyor ise bir hesap üzerinde(örneğin faiz hesaplaması) karmaĢık
bir hesaplamanın yeniden yapılması, destekleyici belgelerin doğrulanması için iĢlemlerin örneklenmesini kapsar.
Bu rehber, BS Denetim Standartları uygulamasında yol göstericilik sağlar. BS Denetçisi, Standart S6‘nın nasıl uygulanacağını
belirlemede, uygulanmalarında mesleki yargılar kullanmak amacına ve sapmaların doğrulanmasının gerekçelerini
hazırlamada düĢünmelidir.
Denetim örneklemesi konusunda diğer faydalı kaynaklar arasında, Uluslararası Muhasebeciler Federasyonu(IFAC) tarafından
yayınlanan Uluslararası Denetim Standardı 530 Denetim Örnekleme ve Diğer Seçmeli Test Usulleri vardır.
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
2.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
2.1
2.1.1
Denetim Örnekleme
BS Denetçisi, istatistiksel veya istatistiksel olmayan örnekleme yöntemleri kullanırken bir denetim örneklemi tasarlamayı ve
seçmeli, denetim usulleri gerçekleĢtirmeli ve yeterli, güvenilir, ilgili ve yararlı denetim kanıtları sağlamak için örnekleme
sonuçlarını değerlendirmelidir.
BS Denetçileri, bir denetim fikri oluĢturulurken, bütün eriĢebildikleri bilgiler incelemeleri pratik olmadığından sıklıkla
incelemezler ve geçerli sonuçlara denetim örneksemesini kullanarak ulaĢabilir.
Denetim örnekleme, nüfusun yüzde 100‘ünden daha azına uygulanan ve BS Denetçisinin denetim kanıtını değerlendirmesine
olanak sağlayan uygulama olarak tanımlanır. Bu kanıt, nüfusla ilgili bir sonuca varmak için yardımcı olacak seçilmiĢ
maddelerin bazı özellikleri hakkındadır.
Ġstatistiksel örnekleme, yığından çıkarılacak sonuçla ilgili matematiksel tekniklerin kullanımını kapsar.
Ġstatistik dıĢı örnekleme ise, istatistiklere bağlı olmayan bir örneklemedir, örneklemenin yığını temsil etmemesi olasılığı
olduğundan dolayı, sonuçlar yığından tahmin edilemez.
2.1.2
2.1.3
2.1.4
2.2
2.2.1
2.2.2
2.2.3
Örneklemenin Tasarlanması
BS Denetçileri, bir denetim örneklemesinin yapısı ve boyutlarını tasarlarken özel denetim amaçlarını, yığının doğasını,
örnekleme ve seçim yöntemlerini göz önüne almalıdırlar.
BS Denetçisi, örneklerin tasarım ve analizinde uygun uzmanların katılımının gerekliliğini düĢünmelidir.
Örnekleme birimi, örneklemenin amacına bağlıdır. Kontrollerin uyumluluk testleri için, örnekleme biriminin bir olay veya bir
iĢlem olduğu durumlarda tipik olarak nitel örnekleme kullanılır (örneğin, bir faturadaki yetkilendirme kontrolü). Maddi
doğrulama testinde, örnekleme biriminin parasal olduğu durumlarda sıklıkla değiĢken örneklemesi veya tahmin örneklemesi
kullanılır.
55
G10 Denetim Örnekleme(Devamı )
2.2.4
2.2.5
2.2.6
2.2.7
2.2.8
BS Denetçisi, ulaĢılacak olan özellikli denetim hedeflerini ve bu hedefleri en çok baĢarma olasılığını sağlayan denetim
usullerini göz önünde bulundurmalıdır. Ayrıca, denetim örneksemesi uygun olduğu zaman; araĢtırılmıĢ denetim kanıtlarının
özelliklerine ve muhtemel hata durumlarına da gereken önem verilmelidir.
Yığın, BS Denetçisinin üzerinde sonuçlara ulaĢmak istediği bütün bir veriler dizisidir. Bu yüzden, örnekseme alındığı yığın
özel denetim hedefleri için tamlığı uygunluğu ve doğruluğu konusunda ikna etmelidir. .
Etkili ve verimli bir örnekleme tasarımına yardımcı olması için katmanlandırma uygun olabilir. Katmanlandırma bir topluluğu,
açıkça belli olan özelliklerine göre alt nüfuslara ayırma iĢlemidir, böylece her örnekleme birimi sadece bir katmana ait olabilir.
BS Denetçisi, örnekleme boyutunu belirlerken örnekleme riskini, kabul edilebilir hata payını ve beklenebilen hataları ve
bunların kabul edilebilirlik sınırlarını göz önünde bulundurmalıdır.
Örnekleme riski, BS Denetçisinin sonuçlarının, aynı denetime bütün yığın tabi tutulsaydı elde edilecek sonuçlardan farklı
olması olasılığından kaynaklanır. Ġki tür örnekleme riski vardır:


2.2.9
2.2.10
2.2.11
2.3
2.3.1
Doğru olmayanın kabul riski-Önemli yanlıĢ ifadenin, muhtemel olarak değerlendirilmediği durumlar, aslında yığın
önemli bir Ģekilde yanlıĢ ifade edilmiĢtir
Doğru olmayan ret riski-Önemli yanlıĢ ifadenin muhtemel olarak değerlendirilmediği durumlar, aslında yığın yanlıĢ
ifade edilmemiĢtir
Örneklemenin boyutu, BS Denetçisinin kabul etmeye istekli olduğu risk seviyesinden etkilenir. Örnekleme riski, denetim risk
modeli ve unsurları, kalıtsal risk, kontrol riski ve tespit riskinin iliĢkisini de değerlendirilmelidir.
Kabul edilebilir hata, BS Denetçilerinin kabul etmeye istekli oldukları ve yine de denetim amacına ulaĢıldığını düĢündükleri
yığındaki yüksek hatadır. Maddi doğrulama testlerinde, kabul edilebilir hata BS Denetçisinin önemlilik yargısıyla ilgilidir. Uyum
testlerinde, BS Denetçisi kabul etmeye istekli olduğu önceden tanımlanmıĢ kontrol usulünden en yüksek sapma oranıdır.
BS Denetçisi, yığında hatalar bekliyorsa, genellikle hata beklenmediği durumundan daha büyük bir örneklemeyi, yığındaki
gerçek hata planlanan tolore edilebilir hatadan daha büyük olmadığı sonucuna ulaĢmak için incelemelidir. Daha küçük
örnekleme büyüklüğü, yığında hata olması beklenmediği zaman doğrulanır.. Bir nüfusta, beklenen hata payını belirlerken BS
Denetçisi, önceki denetimlerdeki tanımlanan hata seviyelerini, kurumun süreçlerindeki değiĢiklikleri ve iç kontrol sistemi
değerlendirmelerinden ve analitik inceleme usullerinden gelen kanıtları göz önünde bulundurmalıdır.
Örneklemenin Seçimi
Yaygın kullanılan dört örnekleme yöntemi vardır. Ġstatistiksel örnekleme yöntemleri Ģunlardır:


Rastgele örnekleme – Yığındaki örnekleme birimlerindeki bütün bileĢkelerinde, eĢit seçim olasılığı olmasını sağlar.
Sistematik örnekleme – Ġlk aralığın rastgele bir baĢlangıç, sonraki seçimler arasında sabit aralar vererek örnek
birimlerinin seçimini gerektirir. Örneğin, Parasal Birim Örnekleme veya Değer Ağırlıklı seçiminde, yığındaki her bir
parasal değere (örneğin 1 Dolara) eĢit seçim Ģansı verilmiĢtir. Para biriminin normalde ayrı ayrı tutulamayacağı için
parasal birimi içeren madde kontrol için seçilir. Bu yöntem seçimi, sistematik olarak daha büyük miktarlara doğru
eğilimlendirir, ancak yine de her parasal değere eĢit bir seçme fırsatı verir. Bir diğer örnek her bir ‗nth örnekleme
biriminin‖ seçilmesini içerir.
Ġstatistikî olmayan metotlar Ģunlardır:


2.3.2
2.3.3
2.3.4
GeliĢigüzel örnekleme-BS Denetçisi, örneklemeyi yapılandırılmıĢ bir teknik izlemeden, bilinçli öngörü ve yanlı hareket
etme durumlarından kaçınarak seçer. Bununla birlikte, geliĢigüzel örnekleme analizi nüfus üzerinde bir sonuca varmak
için güvenilecek bir yöntem değildir.
Yargıya vararak örnekleme-BS Denetçisi, örneklem üzerinde bir yargıya varır (örneklemenin belli bir değerin üzerinde
örnekleme birimleri, bütün negatifler, bütün yeni kullanıcılar gibi). Bu tür bir örnekleme, örneklemin evreni temsil etmeme
olasılığından dolayı, sonuçlarla evren üzerinde tahmin yapılmamalı ve örneklem sonucunun istatistiğe dayanmadığı not
edilmelidir.
BS Denetçisi, örnekleme unsurlarını öyle bir biçimde seçmelidir ki, örnek denenen özelliklerle ilgili olarak yığını temsil etsin
(Örneğin, istatistiksel örnekleme yöntemlerinin kullanımı gibi). Denetim bağımsızlığını sağlamak için BS Denetçisi nüfusun
tamam olduğundan ve örneğin seçimini kontrol ederek emin olmalıdır.
Bir örneğin nüfusu temsil etmesi için, nüfustaki bütün örnekleme birimleri eĢit veya bilinen seçilme ihtimaline sahip
olmalıdırlar.
Ġki yaygın seçme yöntemi vardır: Kayıtlara dayalı seçim ve niceliğe dayalı seçim (örneğin parasal birimler).
Kayıtlara dayanan seçimde; yaygın yöntemler Ģunlardır:



Rastgele örnek (istatistiksel örnekleme)
GeliĢigüzel örnek (istatistiksel olmayan örnekleme)
Yargıya dayalı örnek (istatistiksel olmayan; yanlı bir sonuca yol açan örnek)
Niceliğe dayan seçimde yaygın yöntemler:



2.4
2.4.1
Rastgele örnekleme (parasal birimlerde istatistiksel örnekleme)
Sabit aralıklı örnekleme (sabit bir ara kullanan istatistiksel örnekleme)
Hücre örneklemesi(bir aralık seçinde rastgele kullanılarak istatistiksel örnekleme)
Belgelendirme
Denetim çalıĢma belgeleri, kullanılan örneklemenin hedefini ve örnekleme sürecinin kullanımını açıkça gösteren yeterli
ayrıntıyı içermelidir. ÇalıĢma kâğıtları, yığının kaynağını, kullanılan örnekleme yöntemini, örnekleme parametrelerini (rastgele
baĢlama sayısı veya rastgele baĢlamanın elde edildiği yöntemi, örnekleme aralığını), seçilen konuları, gerçekleĢtirilen
denetim testlerinin ayrıntılarını ve varılan sonuçları içermelidir.
56
G10 Denetim Örnekleme(Devamı )
2.5
2.5.1
2.5.2
2.5.3
2.5.4
2.5.5
3
3.1
Örnekleme Sonuçlarının Değerlendirilmesi
BS Denetçisi, özel denetim hedeflerine uygun denetim süreçlerini tamamladıktan sonra örneklemdeki muhtemel hataları,
gerçekte hata mı uygun mu olup olmadıklarını ve eğer hata iseler özelliklerini ve sebeplerini analiz etmelidir. Bunları, hata
olarak değerlendirilenler, eğer örnekleme yöntemi kullanılmıĢ ise; hatalardan yığın korunmalıdır.
Örneklemede tespit edilen bütün muhtemel hatalar, gerçekte hata olup olmadıklarını belirlemek için gözden geçirilmelidir. BS
Denetçisi, bu hataların kalite açısından etkisini düĢünmek durumundadır. Bu ,hatanın özelliklerini ve sebeplerini, bu hataların
denetimin diğer safhalarına olabilecek muhtemel etkilerini kapsar. Otomasyonlu bir süreçlerde hataların sonuçları, normalde
insan hatalarından daha geniĢ yayılma etkisine sahiptir.
BS Denetçisi, özellikli bir örnekle ilgili denetim kanıtının elde edilemediği durumlarda, seçilen konuda alternatif usuller
uygulayarak yeterli ve uygun denetim kanıtı elde edebilir.
BS Denetçisi, sonuçları örneğin seçiminde kullanılan yönteme benzer bir biçimde yansıtmayı düĢünmelidir. Örneğin,
yansıtılması nüfustaki muhtemel hataları da içermelidir.
BS Denetçisi, denetim hedefleriyle ilgili diğer denetim süreçlerinin sonuçlarını dikkate alarak yığındaki hatalar yada kabul
edilebilir hatayla karĢılaĢtırarak tolerans sınırı aĢıp aĢmadığını düĢünmelidir. BS Denetçisi, kabul edilebilir sınır aĢılıyorsa,
örnekleme riskini yeniden değerlendirmelidir ve eğer bu risk kabul edilemezse, denetim usulünü geniĢletmeyi yada alternatif
denetim usullerini gerçekleĢtirmeyi düĢünmelidir.
YÜRÜRLÜK TARĠHĠ
Bu rehber, bütün BS Denetimleri için 1 Mart 200 tarihinden itibaren geçerlidir. Bu rehber 1 Ağustos 2008 tarihinde incelenmiĢ
ve güncellenmiĢtir.
57
G 11 Yaygın BS kontrollerinin Etkisi
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak
için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir.
1.2
1.2.1
COBIT Bağlantısı
Belirli bir denetimin kapsamına uyacak COBIT‘teki en uygun materyalinin seçilmesi, COBIT‘teki belirli BT sürecinin
seçilmesine ve COBIT kontrol hedeflerinin dikkate alınması ve ilgili yönetim uygulamalarına dair varsayımlara bağlıdır.
BS Denetçilerinin, denetim gereksinimlerinin karĢılanması , CobIT‘teki en ilgili süreçler, seçilmiĢ ve aĢağıdaki gibi
birincil ve ikincil olarak sınıflandırılmıĢ ve uyarlanmıĢtır:
Birincil Kaynaklar:
1.2.2
1.2.3
1.2.4
1.3
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
1.3.7
1.3.8




PO4 BT süreçleri, örgütlenmesi ve iliĢkileri



DS3 Performans ve değiĢiklik yönetimi


Birincil: Verimlilik, etkinlik ve bütünlük
AI4 Faaliyetlerin sağlanması ve kullanımı
AI6 DeğiĢiklikleri yönetimi
AI7 Çözümlerin ve değiĢikliklerin kurulması ve atanması
Ġkincil Kaynaklar:
DS5 Sistem güvenliğinin sağlanması
ME2 Ġç kontrollerin izlenmesi ve değerlendirilmesi
En ilgili bilgi kıstasları Ģunlardır:
Ġkincil: Gizlilik, elde edilebilirlik, uyum ve güvenilirlik
Rehber Gereksinimi
Herhangi bir kurumun, birimin veya iĢlevin yönetimin ve izlenmesinin bu kurumun davranıĢları üzerinde, kontrolleri uyguladığı
yöntem de dahil olmak üzere bir etkisi vardır. Bu, üretim organizasyonu, muhasebe ödeme bölümü veya hazine biriminde de
yapılıĢı gibi BS kullanımında da ilke uygulanır.
Kurumda uygulanan ayrıntılı BS kontrollerinin etkinliği bir bütün olarak kurumun tamamında bilgi sistemlerinin kullanımının
yönetimi ve izlenmesinin etkinliği ile sınırlandırılır. Bu, mali denetimlerin rehberlerinde, BS çevresinde genel kontrollerin etkisi
finansal sistemlerdeki uygulama kontrollerindeki etkisi tanımlanmıĢtır.
BT YönetiĢim Enstitüsü‘nün COBIT çerçevesi, BS Denetçisine aĢağıdakileri ayırt etmede yardımcı olabilir:


Ayrıntılı BS kontrolleri BS Denetim kapsamıyla doğrudan ilgilidir



Yönetim ve izleme kontrolleri, denetim kapsamı ve hedefi ile ilgilidir
Güvenceye katkı sağlayacak BS Yönetimi ve izlenmesinin özellikleri, ayrıntılı BS kontrolleri ile iliĢkisi BS Denetçisi
tarafından sağlanabilir..
Genel/uygulama kontrolleri ayrımı, veri iĢleme bütünlüğü üzerinde, iĢ kullanıcılarına sistem eriĢebilirliği ve iĢ bilgi gizliliği
konusunda bir fikir oluĢturmak olan denetimlere uygulanabilir olması amacıyla özellikle tasarlanmıĢtır.
Ġç denetçiler ve bağımsız danıĢmanlar BS Denetimi yaptıkları zaman denetimin hedef ve kapsamı, mali denetimler dahil iĢ
sürecinden farklıdır. Kullanımda olan sistemler manuel ve bilgisayar sürecinin bir bileĢkesidir, kontrol hedefleri tüm süreç için
olmalıdır ki bu da muhasebe bilgi kayıtlarını içeren iĢ sürecinden ya daha geniĢ ya da daha dar olabilmektedir. Bu yüzden, iĢ
süreci denetimlerinde kullanılan kontrol çerçevesi, bazı BS Denetimleri için uygun olmayabilir.
BS Denetçisi, denetlenen ayrıntılı kontrollerin etkinliği konusunda bir fikir oluĢturmak için, yönetim ve bilgi sistemleri
izlemesinin etkinliğini bu sorunlar yapılmıĢ denetim anlaĢması kapsamı dıĢında olsa bile değerlendirmelidir. Bu varsayımların
sonuçları anlaĢmaya varılmıĢ olan kapsamdan uygun nitelikte bir rapora kadar çeĢitlenebilir.
Yönetim ve izleme kontrollerinin toplam evreni geniĢtir ve bu kontrollerin bir kısmı özellikli denetim hedefiyle ilgili olmayabilir.
BS Denetçisi, denetim riskini değerlendirmek ve uygun denetim yaklaĢımını belirlemek için yapılandırılmıĢ bir yönteme
gereksinim duyar. Bu yöntemle aĢağıdakileri belirlenebilmelidir:
Yönetim ve izleme kontrolleri test edilmelidir.
Denetim fikri konusundaki yönetim ve izleme kontrollerinin etkisi
Bu denetlenen bilgi sistemleri ve faaliyetlerini etkileyen temel kontroller üzerinde BS denetçinin odaklanmasına yardım
edebilecek BS ve ilgili teknolojinin kullanımına özel kontrol çerçevesin kullanarak ulaĢabilir.
BS Denetçisi, yukarıdaki standartların uygulamasını nasıl baĢaracağını saptamada, uygulamalarda mesleki yargılarını
kullanmalı, her hangi bir sapmayı gerekçelendirmeye hazır olmalıdır.
2
KONTROLLER ÇERÇEVESĠ
2.1
2.1.1
Genel BakıĢ
COBIT, kontrolleri ―ĠĢle ilgili hedeflerin baĢarılmasına ve istenmeyen olayları önlenmesi, tespit edilmesi ve
düzeltilmesine makul güvence sağlamak amacıyla tasarlanmıĢ politikalar, usuller, uygulamalar ve kurumsal yapılar.‘
olarak tanımlar.
58
G 11 Yaygın BS kontrollerinin Etkisi(Devamı)
BS Denetçisi, her BS Denetimi,için,BS Denetim hedefiyle ilgili riskli alanlara denetim çabalarını odaklayarak bütün sistemleri
etkileyen genel kontroller(Yaygın BS kontrolleri) ile ve daha fazla ayrıntı seviyesinde genel ve uygulama kontrollerinin iĢlevi
arasında (ayrıntılı BS kontrolleri) arasında ayırım yapabilmelidir. Bu bölümde tanımlanan kontroller çerçevesinin amacı, BS
Denetçisine, odaklandığı bu amaca ulaĢmada yardımcı olmaktır.
2.2
2.2.1
2.2.2
Yaygın BS kontrolleri
―Yaygın BS kontrolleri‖ terimi ISACA sözlüğünde (www.isaca.org/glossary) tanımlanmıĢtır. Yaygın BS kontrolleri, genel
kontrolün bir alt kümesidir; bunlar, BS yönetim ve izlenmesine odaklanan genel kontrollerdir.
Yaygın BS kontrollerinin BS Denetçisinin çalıĢmasına etkisi, uygulama kontrollerinin güvenilirliğiyle sınırlı değildir. Yaygın BS
kontrolleri, ayrıntılı BS kontrollerinin güvenilirliğinin de etkiler: örnekler:




2.2.3
2.2.4
Uygulama program geliĢimi
Sistem uygulaması
Güvenlik yönetimi
Destekleme usulleri
Zayıf BS yönetimi ve izlemesi (yaygın zayıf BS kontrolleri), BS Denetçisine ayrıntı seviyesinde iĢleyen kontrollerin etkisiz
olabileceğinin yüksek risk olasılığına dair bir uyarı olmalıdır.
Yaygın kontroller, önemli sürecin ve kontrollerin tanımlanmıĢ olduğu bir risk değerlendirmesi yönetimi aracılığıyla en etkin
biçimde belirlenmiĢtir.. Örneğin, risk analizi kuruma bağlı olarak, test çevresinden üretim süreci çevresine program
değiĢikliklerinin değerlendirilmesi konusunda (örneğin görev ayrılığı ilkesi) kontrollerin puanlanmasıyla sonuçlanabilir.
Özellikle, program geliĢimi ve değiĢiklik ortamını üretim süreci ortamından ayıran kontroller yaygın kontroller olarak
düĢünülebilirler. Yeni programlar veya program değiĢikliklerini sağlayan kontrol hedeflerinin baĢarılmasının araç ve yöntemi,
üretim süreci çevresinde görevli kiĢilerce gerçekleĢtirilmiĢtir.. Yaygın kontroller, diğer ayrıntılı kontrollere olan güven açısından
da gereklidir.
2.3
Ayrıntılı BS kontrolleri
2.3.1
Ayrıntılı BS kontrolleri terimi ISACA‘nın sözlüğünde (www.isaca.org/glossary) tanımlanmıĢtır. Bunlar, uygulama kontrolleri ve
ayrıca yaygın BS kontrollerinde kapsanmayan genel kontrollerden oluĢurlar. COBIT çerçevesinde ayrıntılı BS kontrolleri,
edinme, uygulama, teslimat ve BS sistemleri desteği ve hizmetlerinden öğelerinden oluĢur. Örnekler:






2.3.2.
Yazılım paketlerinin uygulanması
Sistem güvenlik parametreleri
Felaket kurtarma planlaması
Veri giriĢ doğrulaması
Ġstisna rapor üretimi
Kullanıcı hesapları
Uygulama kontrolleri, ayrıntılı BS kontrollerinin alt kümesidir. Veri giriĢ doğrulaması, örneğin, hem ayrıntılı BS kontrolüdür
hem de uygulama kontrolüdür. ‗AI7 DeğiĢiklikleri ve çözümleri kurma ve akredite etme‘, bir BS kontrolüdür, fakat bir
uygulama kontrolü değildir.
BS kontrolleri arasındaki iliĢki aĢağıdaki çizelgede gösterilmiĢtir:
BS kontrolleri
 Genel kontroller


Yaygın BS kontrolleri
Detaylı BS kontrolleri
 Uygulama kontrolleri
Ayrıca BS Denetçisi, BS‘ dıĢı kontrollerin kapsam ve denetim usullerine olan etkisini de düĢünmelidir.
2.4
2.4.1
Yaygın ve ayrıntılı BS kontrollerinin EtkileĢimi
Yaygın kontroller COBIT bağlamında dört alana dayalı olarak analiz edilmelidirler:




2.4.2.
2.4.3
2.4.4
Plan ve Organize (PO)
Edinme ve uygulama (AI)
Teslimat ve Destek (DS)
Ġzleme ve Değerlendirme (ME)
Yaygın kontroller, sistem eriĢebilirliği kaybı, veri bütünlüğü ve bilgi güvenliği ile iliĢkili risklerden tanımlanmalıdırlar.
Örneğin,halka açık bir ticaret Ģirketinin finansal veya finansal olmayan raporlamasında kullanılan üretim verilerine
belirlenemeyen yetkisiz ve sonuca ait güncellemeyi engelleyen kontroller, veri-bütünlüğü bakıĢ açısından, yaygın kontrol
olarak yorumlanabilirler. 2.4‘ün kalan bölümleri muhtemel yaygın kontrolleri açıklamaktadır.
AI ve DS‘deki kontrollerin etkinliği PO ve ME‘deki kontrollerin etkinliği tarafından belirlenir. Yönetim tarafından yetersiz
planlama, organizasyon ve izleme, edinme, uygulama ve hizmet teslimi ve destek konularının etkisiz olacaklarına dair ipucu
verirler. Tersi bir biçimde güçlü planlama, organizasyon ve izleme, edinme, uygulama ve hizmet teslimi ve destek konularını
düzeltebilir.
Örneğin AI2 Uygulama yazılımı edinme ve bakımı COBIT süreci üzerinde ayrıntılı BS kontrolleri aĢağıdaki COBIT sürecini içerir:


PO1 Stratejik bir BT planı tanımlama
PO8 Kalite yönetimi
59
G 11 Yaygın BS kontrollerinin Etkisi(Devamı)
2.4.5
2.4.6
2.4.7


Projelerin yönetimi


Denetlenen özel projenin etkili yönetildiğine dair güvence sağlamak için ilave çalıĢma planlamak




PO4 BT süreçleri, organizasyonu ve iliĢkileri tanımlama
ME1 BT performansını izleme ve değerlendirme.
Bir uygulama sisteminin edinmesini denetlenmesi, BS stratejisinin, proje yönetiminin yaklaĢımını, kalite yönetimini ve
izlemeye ait yaklaĢımın etkisinin tanımlanmasını içermelidir. Örneğin proje yönetiminin yetersiz olduğu durumlarda, BS
Denetçisi aĢağıdakileri düĢünmelidir:
Yaygın BS kontrollerindeki zayıflıkları yönetime rapor etmek
COBIT süreci ―DS5 Sistemlerin Güvenliği sağlama‖ üzerinde etkili ayrıntılı BS kontrolleri örnekleri, aĢağıdaki CobIT
süreçlerini kapsayan süreçler üzerindeki yaygın BS kontrollerinin yeterliğinden etkilenir:
PO6 Yönetim amaçlarını ve yönlendirmeyi iletme
PO9 BT risklerinin değerlendirilmesi ve yönetilmesi
ME1 BT Performansının izlenmesi ve değerlendirilmesi
Bir sistemdeki güvenlik parametrelerinin yeterliğinin denetimi, yönetimin güvenlik politikalarının (PO6), güvenlik
sorumluluklarının dağılımının (PO4), risk analiz usullerinin (PO9) ve güvenlik politikalarıyla uyumu izleme usullerinin (ME1)
göz önünde bulundurulmasını içermelidir. Parametrelerin, BS Denetçisinin en iyi uygulama görüĢü ile örtüĢmediği durumlarda
bile, yönetim tarafından tanımlanan ve risklerin nasıl ele alınacağını gösteren risklerin ıĢığında yeterli olarak
değerlendirilebilirler. Bu noktada, geliĢime katkısı olacak her türlü denetim önerileri ve ayrıntılı parametreler risk yönetimine
yönlendirilmelidir.
3
PLANLAMA
3.1
3.1.1
Ġlgili Yaygın BS kontrollerine YaklaĢım
BS Denetim Yönetmeliği G15 Planlama, BS Denetçisinin denetlenen iĢlevle ilgili bir ön kontrol değerlendirmesi yapmasını
bildirir. Ġlgili yaygın BS kontrollerini değerlendirirken bir risk değerlendirmesi gereklidir. Yaygın BS kontrollerinin testi, özellikli
denetime ait farklı bir döngü üzerinde yar alabilir, çünkü doğaları gereği birçok farklı BS kullanımı içerirler. BS Denetçisi, bu
yüzden bu alanda yapılmıĢ önceki bir denetim iĢinin güvenilip güvenilmeyeceğini göz önünde bulundurmalıdır.
BS Denetçisi, denetim iĢinin, yaygın BS kontrollerinin yeterli olmadığını gösterdiği durumlarda bu bulgunun denetim amacına
ulaĢmada izlenen planlanmıĢ yaklaĢım üzerindeki etkisini göz önüne almalıdır:
3.1.2


3.2
3.2.1
3.2.2
3.3
3.3.1
3.2.2
Yaygın etkili BS kontrolleri, bir BS Denetçisince ayrıntılı BS kontrolleri ile ilgili olarak sağlanacak güvenceye katkıda
bulunabilirler
Zayıf yaygın BS kontrolleri, güçlü ayrıntılı BS kontrollerini çökertebilir veya zayıflığı daha da kötüleĢtirebilirler
Yeterli Denetim Usulleri
Yaygın BS kontrollerinin denetim amacı üzerinde muhtemel önemli etkisinin olduğu durumlarda sadece ayrıntılı kontrolleri
denetimi planlamak yeterli değildir. Yaygın BS kontrollerini test etmenin mümkün olmadığı veya pratik olmadığı durumlarda
bu kapsam sınırlaması rapor edilmelidir.
BS Denetçisi, denetim amacına ulaĢmaya katkıda bulunacaksa, ilgili yaygın BS kontrollerini test etmeyi planlamalıdır.
Ġlgili Kontroller
Ġlgili yaygın BS kontrolleri, görev için özellikli denetim hedefleri üzerinde etkisi olan kontrollerdir. Örneğin, denetim hedefinin,
özellikli bir program kitaplığı çevresindeki kontroller üzerine rapor vermek olduğu durumlarda, güvenlik politikalarını
ilgilendiren yaygın BS kontrolleri (PO6) ilgili olacaktır, fakat teknolojik yönlendirmenin belirlenmesiyle ilgili yaygın BS
kontrolleri (PO3) ilgili olmayabilirler.
BS Denetçisi, denetimi planlarken özel denetim hedefleri üzerinde etkisi olabilecek yaygın BS kontrollerinden toplam evrenin
tanımlamalı ve denetim kapsamında bunları içermeyi de planlamalıdır. PO ve ME için COBIT kontrol amaçları BS Denetçisine
ilgili yaygın BS kontrollerini tanımlamada yardımcı olabilir.
3.3
3.4.1
Denetim Kanıtı
BS Denetçisi, ilgili kontrollerin etkin bir biçimde çalıĢtıklarına dair denetim kanıtı elde etmelidir. Yapılabilecek testler bölüm 4‘te
(Denetim ĠĢinin gerçekleĢtirilmesi) anlatılmıĢtır.
3.5
3.5.1
Ġlgili Ayrıntılı BS kontrollerine YaklaĢım
BS Denetçisi, BS Denetim iĢinin, yaygın BS kontrollerinin yeterli olduğunu gösterdiği durumlarda ayrıntılı BS kontrollerini test
için planlanan test seviyesini azaltabilir, çünkü yaygın güçlü yaygın BS kontrollerinin denetim kanıtı, ayrıntılı BS kontrolleriyle
ilgili BS Denetçisince sağlanacak güvenceye katkıda bulunacaktır.
BS Denetçisi, BS Denetim iĢinin, yaygın BS kontrollerinin yeterli olmadığını gösterdiği durumlarda, ayrıntılı BS kontrolleriyle
ilgili zayıflıklara rağmen etkin çalıĢtığına denetim kanıtı yaygın BS kontrollerinin yeterli testini gerçekleĢtirmelidir.
3.5.2
4
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
4.1
4.1.1
Yaygın BS kontrollerinin Testi
BS Denetçisi, ilgili yaygın BS kontrollerinin, denetim sırasında veya herhangi bir zaman diliminde etkin biçimde
çalıĢtıklarından emin olmak için yeterli testi yapmalıdır. Uygun olabilecek test usulleri Ģunlardır:


Gözlemleme
Kanıtlarla desteklenmiĢ istemler
60
G 11 Yaygın BS kontrollerinin Etkisi(Devamı)


Ġlgili belgelendirmenin incelenmesi (politikalar, standartlar, toplantı tutanakları)
4.1.2
Performans yinelemesi (BDDT kullanılarak)
BS Denetçisi, eğer ilgili yaygın BS kontrollerinin testi yeterli olduklarını gösterirse ayrıntılı BS kontrollerinin planlanan
denetimine denetim hedefine doğrudan uygulamaya devam etmelidir.. Bu tür bir denetim seviyesi, yaygın BS kontrollerinin
yeterliğinin istenen seviyede olmadığı durumlarda kabul edilebilir seviyenin altında kalabilir.
5
RAPORLAMA
5.1
5.1.1
Yaygın BS Kontrol Zayıflıkları
BS Denetçisinin yaygın BS kontrollerinde zayıflık belirlediği durumlarda bunlar, denetim kapsamında belirtilmemiĢ olsalar bile
yönetimin dikkatine sunulmalıdır.
5.2
5.2.1
Kapsam Sınırlamaları
BS Denetçisi, yaygın BS kontrollerinin ayrıntılı BS kontrollerinin üzerine önemli muhtemel etkisinin olduğu ve yaygın BS
kontrollerinin denetlenmemiĢ olduğu durumlarda bu gerçeği son raporda yönetimin dikkatine denetim bulgularındaki muhtemel
etkiler, sonuçlar ve önerilerle birlikte sunmalıdır. Örneğin, BS Denetçisi, bir ―paket çözüm‖ün edinilmesinin denetimini
raporlarken, kurumun BS stratejisini görmemiĢse, rapora BS Stratejisinin hazırlanmadığını veya olmadığını belirten bir ifade
eklemelidir. BS Denetçisi denetim bulgularının muhtemel etkilerini, sonuçlarını ve önerileri rapor etmelidir. Örnek paket
çözümün satın alınmasının BS stratejisiyle tutarlı olup olmadığı ve iĢ planlarının geleceğini destekleyip desteklemediğini
söylemenin imkansızlığının ifadesiyle.
6
6.1
YÜRÜRLÜK TARĠHĠ
Bu rehber, bütün BS Denetimleri için 1 Mart 2000 tarihinden itibaren geçerlidir. Bu rehber, 1 Ağustos 2008 tarihinde gözden
geçirilmiĢ ve güncellenmiĢtir.
61
G12 Kurumsal ĠliĢki ve Bağımsızlık
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S2 Bağımsızlık Standardı: ―Denetimle ilgili bütün konularda, BS Denetçisi hem tavır hem de görünüĢ olarak denetlenen
kurumdan bağımsız olmalıdır.‖Ģeklinde ifade eder.
S2 Bağımsızlık Standardı:‖ BS Denetim iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına
olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır.‖ Ģeklinde ifade eder.
S3 Mesleki Etiği ve Standartları, ‗BS Denetçisi, ISACA Meslek Etik Kurallarına bağlı kalmalıdır‘. Ģeklinde ifade eder.
1.1.2.
1.1.3.
1.2
1.2.1
1.2.2
1.2.3
COBIT Bağlantısı
Özel denetim kapsamına en uygun COBIT materyalinin seçilmesi, belirli COBIT BT sürecinin seçimine ve COBIT kontrol
hedefleri ve ilgili yönetim uygulamalarına dair varsayımlara bağlıdır. BS Denetçilerinin bağımsızlık ihtiyacını karĢılamak için ,
seçilmiĢ ve uyarlanmıĢ olan en ilgili COBIT süreci burada birincil ve ikincil olarak sınıflandırılmıĢtır.
PO4 BT Süreçleri , kurumun ve ilişkilerin tanımlanması, BT iĢ stratejisine karĢılık yönetiĢim ihtiyaçları ile uyum içinde
sağlanması, Ģeffaflığa ve esnekliğe odaklanan bağlantıların uzmanlık noktaları, kurumsal BT yapıları karĢılayan ve BT
süreçlerinin sahipleriyle, rolleriyle ve sorumlulukları ile iĢ ve karar süreciyle bütünleĢmiĢ uygulamayı ivedilikle sağlar.
Ġkincil kaynaklar:


1.2.4
ME4 BT yönetimi sağlamak
En ilgili bilgi kıstasları Ģunlardır:


1.3
1.3.1
1.3.2
ME2 Ġç kontrolün izlenmesi ve değerlendirilmesi
Birincil: Etkinlik ve verimlilik
Ġkincil: Gizlilik, bütünlük, eriĢebilirlik, uyum ve güvenilirlik
Rehber Gereksinimi
Bu Rehberin amacı, Standart S2‘de kullanıldığı üzere ‗bağımsızlık‘ kelimesinin anlamını geniĢletmek ve BS Denetçisinin
denetim sırasında tavır ve bağımsızlığına gönderme yapmaktır.
Bu rehber, BS Denetim standartlarını uygulamasında yol göstericilik sağlar. BS Denetçisi, bunu yukarıdaki standartların
uygulamasını nasıl baĢaracağını saptanmasında, , mesleki yargılarını kullanmalı ve her türlü sapmayı gerekçelendirmeye
hazır olmayı düĢünmelidir.
2.
BAĞIMSIZLIK
2.1
2.1.1
2.1.2
Tavır
BS Denetçileri, bütün çalıĢmaları boyunca yürürlükteki meslek etik kurallarına ve denetim standartlarına bağlı kalmalıdırlar.
Her COBIT uygulamasında, denetim yönetmeliği, denetim iĢlevinin bağımsızlık, yetki ve hesap verilebilirliğinin korunmalıdır ve
kurumun yönetim birimlerinin uygun üyelerince sağlamalıdır.
3.
PLANLAMA
3.1
3.1.1
Personel
BS Denetçisi, denetim etkinliğinde görevli insanlarla birçok iliĢki kurar ve denetlenen alanın, sıklıkla da kurumun tamamının en
derin yönlerini keĢfetme olanağı bulur. BS Denetçisinin tavırları, her zaman bu role uygun olmalıdır. Planlama herhangi bilinen
bir iliĢkiyi hesaba katmalıdır.
BS Denetçileri, bağımsızlıklarına zarar geldiği durumlarda denetime katılmamalıdırlar. Örneğin, eğer BS Denetçilerinin
denetim sonuçlarını etkileyebildiklerinden dolayı mali bir kazanç veya baĢka kiĢisel bir çıkar elde etme beklentileri varsa
bağımsızlık zarar görmüĢ demektir. Bununla birlikte, BS Denetçisinin bağımsızlığı, eğer bir iĢ takibi sırasında kiĢisel iĢlemleri
normal seyrinde gidiyorsa zarar görmüĢ demek değildir.
BS Denetçileri, denetimin baĢlangıcında bağımsızlıklarını bildirmek için bir çıkar çatıĢması bildirimi imzalamaları istenebilir.
3.1.2
3.1.3
3.2
3.2.1
ÖnceliklendirilmiĢ Denetim Planı
COBIT süreci ME4, ‗Yönetim bağımsız bir denetim sağlamalıdır‘ der. Bu hedefe, ulaĢmak için bir denetim planı
oluĢturulmalıdır. Bu plan, etkinliği, verimliliği ve güvenlik ekonomisini ve iç kontrol usullerini ilgilendiren düzenli ve bağımsız
güvencenin verildiğini ortaya koymalıdır. Bu plan çerçevesinde yönetim bağımsız güvence elde edilmesi bağlamında
öncelikleri belirlemelidir.
4.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
4.1
Kurum
62
G12 Kurumsal ĠliĢki ve Bağımsızlık(Devamı)
4.1.1
4.1.2
4.1.3
4.1.4
4.2
4.2.1
BS Denetçileri denetlenen alandan kurumsal olarak bağımsız olmalıdırlar. BS Denetçileri, denetlenen alanla ilgili doğrudan
kontrol olanağına sahiplerse bağımsızlık zarar görür. Eğer BS Denetçilerinin bağımsızlığı, denetlenen alanla ilgili doğrudan
kontrol olanağına sahip insanlara rapor vermek sorumlulukları varsa da zarar görür. BS Denetçileri, sonuçları üst yönetime
rapor olarak veren BT grup sorumlularına raporlama yapma zorundalar ise da bağımsızlık zarar görür. Bu durum, BT
grubunun projeyi yönetmesi olarak algılanabilir ve bağımsızlık zarar görür. Ayrıca BS Denetçileri, gerçekleĢtirilen iĢin
kapsamının kontrol süreci sahiplerinin isteklerine bağlı olduğu durumlardan dolayı bağımsızlık zarar görmüĢse bunu da göz
önünde bulundurmalıdırlar.
Bağımsızlık, BS Denetçisi ve yönetim tarafından düzenli olarak değerlendirilmelidir. Bu değerlendirme, kiĢisel iliĢkilerde
değiĢme, mali ilgiler ve iĢ öncesi anlaĢmalar ve sorumluluklar gibi konuları göz önünde bulundurmalıdır. BS Denetçileri, bu
sürekli değerlendirme sürecinde, kontrol öz-değerlendirme tekniklerinin kullanımını dikkate almalıdırlar.
BS Denetçileri, göreve bağlı olarak Ģahıslarla görüĢmeler yapabilirler, kurumsal süreci analiz edebilirler, kurum personelinden
yardım alabilirler, vb. Bir BS denetçisinin tavır ve görünüĢü, her zaman bu durumlarda bağımsızlık açısından yeterli olmalıdır.
BS Denetçileri, faaliyet ve arkadaĢlık iliĢkilerinin bağımsızlıklarını etkileyebileceklerini unutmamalıdırlar. BS Denetçilerinin
bağımsızlıklarının algılanıĢ biçimi yaptıkları çalıĢmaların kabul ediliĢini etkileyebilir.
Eğer BS Denetçileri, bir durumun veya bir iliĢkinin bağımsızlıklarını zedeleyebileceğinin farkına varırlarsa denetim yönetimini
ivedi olarak bilgilendirmelidirler.
Bilgi Toplama
BS Denetçileri, denetlenen kurumla ilgili bir anlayıĢ geliĢtirmek için edinilmesi gerekenler bağlamında bağımsızlıklarını
korumak amacıyla aĢağıdakileri gözden geçirmelidirler:



4.3
4.3.1
4.3.2
Bağımsız güvence süreci ile ilgili kurum politikaları ve usulleri
Denetim yönetmeliği, görev bildirisi, politikalar, usuller ve standartlar, ön raporlar ve denetim planları
Organizasyon Yapısı
Kontrollerin Değerlendirilmesi
BS Denetim planları, BS Denetçilerinin bağımsız olmaları gereken faaliyetleri tanımlamalıdır. BS Denetçilerinin bu
etkinliklerden bağımsız kalıĢları üst yönetici tarafından veya BS Denetim planlarını belirleyip onaylayan kiĢi tarafından sürekli
izlenmelidir ve BS Denetim planı onaylamalıdır. Bu izleme, bireysel BS Denetçilerini özellikli görevlere atama sürecinin de bir
değerlendirmesini içermelidir ve bu amacı bu sürecinin bağımsızlık ve yeterli yetenekleri sağladığını doğrulamaktır.
BS Denetçilerinin yürürlükteki meslek kurallarına uyduğuna dair onama her zaman gerçekleĢtirilmelidir. Birçok durumda,
denetimin bağımsızlığını kanıtlamada bu onama yeterli olur. Eğer bir BS Denetçisinin bağımsızlığından ödün verildiğine dair
gösterge var ise, denetim planının gözden geçirilmesi düĢünülmelidir.
5.
RAPORLAMA
5.1
5.1.1
Raporlamaya Etkisi
BS Denetçilerinin bağımsızlığının zarar gördüğü ve denetçinin denetimle ilgisinin devam ettiği durumlarda bu durum yönetime
bildirilmeli ve raporda da belirtilmelidir.
6.
6.1
YÜRÜRLÜK TARĠHĠ
Bu rehber, bütün BS Denetimleri için 1 Eylül 2000 tarihinden itibaren geçerlidir. Bu rehber 1 Ağustos 2008 tarihinde gözden
geçirilmiĢ ve güncellenmiĢtir.
63
G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S5 Planlama bildirimine Standardı :BS Denetçisi, denetiminin hedeflerini
karĢılayacak bilgi sistemleri denetim
kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı: Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak
için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların
uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder.
G15 BS Denetim Planlama Klavuzu Paragraf 2.4.1
‗Denetim esnasında, önemli bütün konuların yeterince
kapsanmasının makul güvencesini sağlamak için risk değerlendirmesi yapılmalıdır. Bu değerlendirme, görece
yüksek riskli önemli sorunların var olduğu alanları tanımlamalıdır.‘ Ģeklinde ifade eder.
1.1.2
1.1.3
1.2
1.2.1
Usullerle Bağlantı
Bu yönetmelik, BS Denetim Usulü P1 BS Risk Değerlendirme Ölçümü ile bağlantılı kullanılabilir.
1.3
1.3.1
COBIT Bağlantısı
Özel denetimin kapsamına uygulanacak COBIT‘teki en çok ilgili materyalinin seçilmesine, belirli COBIT BT sürecinin
seçimine ve COBIT kontrol hedefleri ve ilgili yönetim uygulamalarına özel CobIT süreçlerinin ve varsayımlarının seçimine
bağlıdır. BS Denetçileri ihtiyacı olan denetim kanıtlarının belgelendirmesi ihtiyacını karĢılamak için, COBIT‘teki en ilgili,
olabilecek süreçler, seçilmiĢ ve uyarlanmıĢ olan en ilgili süreçler burada birincil ve ikincil olarak sınıflandırılmıĢtır.
PO9 BT Risklerini Değerlendirme ve Yönetme, iĢ ve operasyonel risk yönetim çerçevesi, risk değerlendirme, risklerin
azaltılması ve kalıtsal risklerin iletilmesinin entegre eden bir risk yönetimi çerçevesinin geliĢtirilmesi konusuna odaklanarak,
BT risklerinin ve bunların iĢ süreçlerine muhtemel etkilerinin analizi ve iletiĢimi için gereken BT‘lerin iĢ gereksinimlerini
karĢılanmasını sağlar.
ME2 Ġç Kontrolleri izleme ve değerlendirme, BT ile ilgili faaliyetler ve geliĢtirici faaliyetlerin izlenmesine odaklanarak ET
hedefleri ve BT ile ilgili yasalar ve düzenlemelerle uyumun baĢarılmasının korunması için BT iĢ gereksinimlerini sağlar.
Ġkincil kaynaklar:
1.3.2
1.3.3
1.3.5
1.3.6
1.4
1.4.1
1.4.2
1.4.3


ME3 Düzenlemelerle uyumu sağlamak


Birincil: Gizlilik, bütünlük, eriĢebilirlik
ME4 BT yönetiĢimini sağlamak
En ilgili bilgi kıstasları Ģunlardır:
Ġkincil: Etkinlik, verimlilik, uyumluluk ve güvenilirlik
Rehber Gereksinimi
BS Denetçisince, belli bir denetim hedeflerini baĢarmak için gerekli olan denetim iĢinin seviyesine, kiĢisel olarak karar verir.
Denetim bulgularına dayanarak yanlıĢ bir sonuca ulaĢma riski (denetim riski) bu kararın bir yönüdür. Diğer bir yünüyse
denetlenen alanda hata oluĢma riskidir (hata riski). Mali denetimleri yaparken risk değerlendirmeleri için önerilen uygulamalar,
mali denetçiler için denetim standartlarında iyi bir biçimde belgelendirilmiĢtir fakat bu tekniklerin BS Denetimlerine nasıl
uygulanacağına dair rehber gerekmektedir.
Yönetimin üyeleri de kararlarını, kabul etmeye hazır oldukları risk seviyesinin değerlendirilmesi üzerinde ne kadar kontrolün
uygun olduğu gerçeğine dayandırırlar. Örneğin, bilgisayar uygulamalarını tanımlı bir süre içinde uygulayamamak,
beklenmedik ve istenmedik olaylardan kaynaklanan bir durum olabilir (örneğin veri merkezi yangını gibi). Bunlar uygun
tasarlanmıĢ uygun kontrollerin uygulanmasıyla azaltılabilir. Bu kontroller ihtimallere dayalı tahminleri temel alırlar ve bu
ihtimalleri azaltmayı amaçlarlar. Örneğin bir yangın alarmı yangınları önlemez fakat yangının yol açacağı hasarı azaltmaya
yardımcı olur.
Bu rehber, BS Denetim Standartlarını uygulamada yol göstericilik sağlar. BS Denetçisi, standartlar S5 ve S6‘nın
uygulanmasının sağlanmasıyla ilgili bu Rehberi göz önünde bulundurmalı ve uygulanması sırasında mesleki yargılarını
kullanmalı ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdırlar.
2.
PLANLAMA
2.1
2.1.1
Risk Değerlendirme Yönteminin Seçilmesi
BS Denetçisinin, çok sayıda uygun risk değerlendirme yöntemi seçeneği vardır. Bunlar, BS Denetçisinin yargılarına bağlı
olarak, basit sınıflandırmadan, yüksek, orta ve düĢük sınıflandırmaya ve karmaĢık ve sayısal risk oranlaması yaparak
bilimsel hesaplamalar sağlayan çeĢitlerine kadar geniĢ bir yelpazede yer alırlar. BS Denetçileri, denetlenen kuruma göre
karmaĢıklık seviyesi ve uygun ayrıntıları dikkate almalıdır.
BS Denetçileri, kurumun, sistem varlığını destekleyen kontrollerin kaybından veya veri bütünlüğü ve iĢ bilgi gizliliğinden
kaynaklanan risklerinin bir analizini en az bir metodolojiyle sağlamalıdırlar.
Bütün risk değerlendirme yöntemleri, süreçlerin bazı noktalarında kiĢisel yargılara dayanırlar (örneğin muhtemel parametreleri
ek ücretlendirme gibi). BS Denetçisi, kiĢisel kararları gerekli ise kullanacağı yöntemi tanımlamalı ve bu yargıların uygun
doğruluk seviyesinde alınıp alınamayacağını ve geçerli olup olmayacağını dikkate almalıdır.
BS Denetçileri, hangisinin en uygun risk değerlendirme yöntemi olduğunu belirlemede, aĢağıdaki noktaları göz önünde
bulundurmalıdırlar:
2.1.2
2.1.3
2.1.4

Toplanması gereken bilgi çeĢidi (bazı sistemler mali etkileri tek ölçüt olarak kullanırlar-bu BS Denetçileri için her zaman
uygun değildir).


Yöntemi kullanmak için gereken yazılım veya diğer lisansların maliyeti
Gereken bilginin hali hazırda mevcut olup olmadığı
64
G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı(Devamı)


2.1.5
2.2
2.2.1
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.4
2.4.1
2.4.2
Yöntemin diğer kullanıcılarının düĢünceleri ve denetimlerinin etkinliliğini ve/veya etkililiğinin geliĢtirilmesinde
kendilerine ne derecede yardımcı olduklarına dair görüĢleri
bunun
 Yönetimin, denetimin çeĢidini ve seviyesini belirlemede araç olarak kullanmak üzere yönetimi kabul etmedeki istekliliği
Hiçbir basit risk değerlendirme yönteminin, bütün durumlar uygun olması beklenemez. Denetimleri etkileyen Ģartlar zaman
içerisinde değiĢebilir. BS Denetçisi, belirli zamanlarda seçilen risk değerlendirme yöntemlerinin uygunluğunu yeniden
değerlendirmelidir.
Risk Değerlendirmenin Kullanımı
BS Denetçileri, bütün denetim planını geliĢtirmede ve özel denetimler planlarken seçilen risk değerlendirme tekniklerini
kullanmalıdırlar. Risk değerlendirme, diğer denetim teknikleriyle birlikte, planlama kararları verilirken aĢağıdakileri göz önünde
bulundurulmalıdır:



2.2.2
Güvenilir sonuç almadan önce toplanması gereken ek bilgi miktarı ve bu bilgi toplamanın maliyeti (toplama sırasında
harcanacak olan zaman dahil)
Denetim usullerinin doğası, sınırları ve zamanlamaları
Denetlenecek olan alanlar ve iĢ birimleri,
Bir denetime ayrılacak olan zaman ve kaynak miktarı
BS Denetçisi, aĢağıdaki her bir risk çeĢidinin tüm seviyelerini belirlemek için dikkate almalıdır:



Kalıtsal risk



BS Yönetiminin dürüstlüğü ve BS yönetiminin tecrübesi ve bilgisi



Kurumun iĢ ve sistemlerinin doğası (örneğin e-ticaret planları, sistemlerin karmaĢıklığı, bütünleĢik sistem olmayıĢı gibi)
Kontrol riski
Tespit riski
Kalıtsal Risk
Kalıtsal risk, herhangi bir iç kontrolün bulunmadığı varsayıldığında, kendi baĢına veya diğer hatalarla birlikte bileĢke olan, bir
Ģekilde önemli hataların yapılmasında denetim alanının hassasiyetidir. Örneğin, iĢletim sisteminin güvenliğiyle ilgili kalıtsal
risk, iĢletim sistemi güvenlik zafiyeti yoluyla verilerin değiĢtirilmesi veya açıklanması yanlıĢ yönetim bilgisine veya rekabetçi
dezavantaja yol açtığı için normalde yüksektir. Aksine, tek bir bilgisayarın güvenliği ile ilgili Kalıtsal Risk, hakiki analizler
gösteriyor ki iĢle ilgili kritik amaçlar için kullanılmadığı takdirde, normalde düĢüktür.
Çoğu BS Denetim alanlarında, kalıtsal risk çünkü potansiyel hataların etkilerinin birkaç iĢ sistemi ve birçok kullanıcıya
yayılmasından dolayı normalde yüksektir.
BS Denetçisi, kalıtsal riski değerlendirirken yaygın ve ayrıntılı BS kontrollerini birlikte göz önüne almalıdır. Bu, BS Denetçisinin
görevinin sadece yaygın BS kontrolleriyle ilgili olduğu yer ve durumlarda uygulanamaz.
BS Denetçisi, yaygın BS kontrol seviyesinde denetlenen alanın uygun seviyesinde aĢağıdaki konuları dikkate
almalıdır:
BS Yönetiminde olan değiĢiklikler
BS Yönetimine, bilgiyi örtbas etmeleri ve gerçeğe aykırı beyanata zorlamak için yapılan baskılar (örneğin büyük kritik
proje bitiĢ süreleri, sanal korsanlar vb)
Kurumun endüstrisini bir bütün olarak etkileyen etmenler (örneğin teknolojideki değiĢiklikler, BS personeli bulunması vb)
Üçüncül tarafların denetlenen sistem kontrolüne etkilerinin seviyesi (örneğin tedarik zinciri bütünleĢikliği sebebiyle,
dıĢarıdan BS sürecinin satın alınması, kurumsal iĢ ortakları ve müĢterilerin doğrudan eriĢimi gibi)
 Önceki denetimler tarihinden ve denetimden gelen bulgular
BS Denetçisi, detaylı BS kontrol seviyesinde denetlenen alan için uygun seviye için aĢağıdaki soruları dikkate
almalıdır:







Denetlenen alandaki önceki denetimlerin tarihleri ve bulguları



Ġç kontrollerin tanımlanmaması,
Sürece dahil olan sistemlerin karmaĢıklığı
Gerekli el ile müdahalenin seviyesi
Sistem tarafından kontrol edilen varlıkların kayıp veya suiistimal hassasiyeti (döküm, ücret bordosu gibi)
Denetim süresince belli zamanlarda faaliyetlerin doruk noktalara ulaĢması olasılığı
Günlük rutin BS süreci dıĢındaki etkinlikler (iĢletim sistemi araçlarının veri değiĢtirmek için kullanılması gibi)
BS kontrollerini uygulayacak olan personel ve yönetimin dürüstlük, deneyim ve yetenekleri
Kontrol Riski
Kontrol riski, önemli olabilecek tek bir veya diğer hatalarla birlikte olabilecek bir hatanın, denetlenen bir alanda olması ve
zamanında iç kontrol sistemi tarafından önlenememesi, tespit edilememesi ve veya düzeltilememesidir. Örneğin, bilgisayar
kayıtlarının kiĢisel incelenmesi ile ilgili riskler yüksek olabilir, çünkü soruĢturma gerektiren faaliyetler kaydedilen bilgilerin
büyüklüğünden dolayı genellikle kolayca dikkatten kaçabilir. Bilgisayarlı veri onayı ile ilgili kontrol riski iĢlemlerin sürekli bir
biçimde uygulanmasından dolayı genellikle düĢüktür,
BS Denetçisi, kontrol riskini ilgili iç kontroller aĢağıdaki gibi olmadığı sürece yüksek olarak değerlendirmelidir:
Ġç kontrollerin etkin olarak değerlendirilmemesi
Ġç kontrollerin uygun biçimde iĢleyip iĢlemediğinin test edilmemiĢ olması ve onaylanmaması.
65
G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı(Devamı)
2.5
2.5.1
2.5.2
Tespit Etme Riski
Tespit etme riski, BS Denetçilerinin büyük ölçekli süreçlerde önemli olabilecek, bir hatayı veya diğer hatalarla bileĢik bir
hatayı belirleyememesi riskidir. Örneğin, güvenlik açıkları ile ilgili belirleme riski genellikle yüksektir çünkü denetim anında
denetimin bütün süresi için tutulan kayıtlar mevcut değildir. Bir felaket kurtarma planlarının olmayıĢındaki belirleme riski
normalde düĢüktür çünkü bunların varlığı kolayca onaylanabilir.
Gereken büyük ölçekli testlerin seviyesini belirlemede BS Denetçileri aĢağıdakileri göz önünde bulundurmalıdırlar:


Kalıtsal riskin değerlendirmesi
2.5.3
Uyum testinin sonrasında kontrol riski konusunda varılan sonuç
Kalıtsal ve kontrol riski değerlendirmesi ne kadar yüksekse, BS Denetçilerinin denetim usullerinden o kadar yüksek denetim
kanıtı sağlamalıdır.
3.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
3.1
3.1.1
Belgelendirme
BS Denetçileri, belli bir denetim için kullanılan risk değerlendirme tekniklerini veya yöntemini belgelendirmeyi düĢünmelidirler.
Bu belgelendirme normalde Ģunları içermelidir:




4.
4.1
Kullanılan risk değerlendirme yönteminin bir tanımı
Önemli açıklar ve ilgili risklerin tanımı
Denetimin kapsaması öngörülen risk ve açıklar
BS Denetçisinin risk değerlendirmesini destekleyecek denetim kanıtı
YÜRÜRLÜK TARĠHĠ
Bu rehber, bütün BS Denetimleri için 1 Eylül 2000 tarihinden itibaren etkindir. Bu rehber, 1 Ağustos 2008 gözden geçirilmiĢ ve
güncellenmiĢtir.
66
G14 Uygulama Sistemleri Ġncelemesi
1.
ARKA PLAN
1.1
1.1.1
1.2.
1.2.1.
Standartlarla Bağlantı
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı: ―Denetim amaçlarına ulaĢmak için denetim boyunca BS Denetçisi,
yeterli, güvenilir ve iliĢkili kanıtları elde etmek durumundadır‖ Ģeklinde ifade eder.
CobIT Bağlantısı
Belirli bir denetim kapsamına uygulanacak en uygun CobIT materyalinin seçimi, belirli CobIT BT süreçlerinin seçimine, CobIT
kontrol hedeflerinin seçimine ve bağlantılı yönetim uygulamalarına dayanır. BS denetçisinin G 14 Uygulama Sistemleri
gözden geçirme ihtiyacını karĢılamak için CobIT‘teki en uygun süreçler seçilmiĢ ve aĢağıda birincil ve ikincil olarak
sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreçler ve kontrol hedefleri, görevlendirmenin veya iĢ anlaĢmasının belirlediği
kapsama ve Ģartlara göre değiĢebilir.
1.2.2
Birincil BT süreçleri:
1.2.3.




P09 BT Risklerinin Değerlendirilmesi,
AI2 Uygulama Yazılımlarının Edinilmesi ve GeliĢtirilmesi
DS5 Sistemlerin Güvenliğinin Sağlanması
ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi






Ġkincil BT süreçleri :
P09 BT Ġnsan Kaynaklarının Yönetilmesi
P08 Kalite Yönetimi
A16 DeğiĢiklik Yönetimi
DS3 Performans ve Kapasite Yönetimi
DS10 Sorunların Yönetimi
DS11 Veri Yönetimi
Uygulanma sistemlerinin gözden geçirilmesiyle ilgili en uygun bilgi kriterleri:
Birincil:EriĢilebilirlik, güvenilirlik, bütünlük ve gizlilik
Ġkincil: Uyum, etkililik, etkenlik
1.2.4.
1.3.
1.3.1.
1.3.2.
Rehber Gereksinimi
Bu Rehberin amacı, bir uygulama sistemi incelemesi yapılırken önerilen uygulamaları tanımlamaktır.
Bir uygulama sistemi incelemesinin amacı, kontrol hedeflerine ulaĢmak için bir kurum tarafından uygulanan bir uygulama
üzerindeki kontrolleri tanımlamak, belgelendirmek, test etmek ve değerlendirmektir. Bu kontrol hedefleri, sistem üzerindeki
kontrol hedefleri ve ilgili veriler olarak sınıflandırılabilirler.
2.
PLANLAMA
2.1
2.1.1
Planlama Varsayımları
Planlamanın tamamlayıcı bir parçası, BS Denetçisinin sistemlerin büyüklüğü ve karmaĢıklığını ve kurumun bilgi sistemlerine
bağımlılığının sınırlarını belirlemek için, kurumun bilgi sistemleri ortamının anlaĢılmasıdır. BS Denetçisi, kurumun misyonu ve
iĢ hedefleri, bilgi teknolojisi ve bilgi sistemlerinin kurumu desteklemek için nasıl kullanıldığı ve kurumun bilgi sistemleri ile
amaçları arasındaki riskler hakkında bilgi elde etmelidir. Ayrıca, kurumun ana BS personelinin sorumlulukları ve rolleri ve
uygulama sistemi iĢ süreci sahibi ile ilgili bilgiler de edinmelidir.
Planlamanın birincil hedefi, uygulama seviye risklerinin tanımlanmasıdır. Göreceli risk seviyesi, gerekli denetim kanıtı
seviyesini etkiler.
Sistem ve veri seviyesinde uygulama seviye riskleri aĢağıdaki gibi noktaları içerir:
2.1.2
2.1.3
2.1.4
2.1.5



Sistem iĢlem yeteneğinin olmamasıyla ilgili sistem eriĢebilirliği riskleri


Gerektiğinde güncellemenin yapılamamasından kaynaklanan sistem bakım riskleri
Sistemlere ve/veya verilere yetkisiz eriĢimle ilgili sistem güvenlik riskleri
Verilerin doğru olmayan bir biçimde, tamamlanmaksızın, yetkisiz ve zamansız iĢlenmesiyle ilgili sistem bütünleĢikliği
riskleri
Verilerin bütünlüğü, gizliliği, özelliği ve doğruluğu ile ilgili veri riskleri
Uygulama seviyesi risklerini kapsayan kontroller, sistemde oluĢturulmuĢ bilgisayarlı kontroller, elle kontroller veya bunların
bileĢimleri Ģeklinde olabilir. Örnek olarak, bilgisayardaki belgelerin eĢleĢmesi (satın alma sipariĢi, fatura ve mal alındı raporu
gibi), bilgisayarın ürettiği çıktının kontrolü ve imzalanması, istisna raporlarının üst yönetim tarafından incelenmesi sayılabilir.
ProgramlanmıĢ kontrollere güven olduğu durumlarda, denetim amacıyla özel olarak ilgili kontroller ve genel BT kontrolleri
düĢünülmelidir. Genel BT kontrolleri, fiziksel kontroller, sistem seviyesi güvenliği, ağ yönetimi, veri yedekleme ve acil durum
planlama gibi konuları içeren ayrı bir incelemenin konusu olabilirler. BS Denetçisi, Ġncelemenin kontrol amaçlarına bağlı olarak
genel kontrolleri incelemeye gereksinim göstermeyebilir.
67
G14 Uygulama Sistemleri Ġncelemesi(Devamı)
2.1.6
2.2.1
Bir paket uygulama sistemi, edinme için değerlendiriliyorlarsa, uygulama sistemi üretime girmeden önce ve uygulama sistemi
üretime girdikten sonra uygulama sistem incelemeleri gerçekleĢtirilebilir. Uygulama öncesi uygulama sistemi incelemesinin
kapsamı, uygulama seviyesi güvenliğinin mimarisini, güvenlik uygulamasının planlarını, sistem ve kullanıcı belgelendirmesinin
yeterliğini ve planlanmıĢ ve gerçekleĢmiĢ kullanıcı kabul testlerinin yeterliğini içerir. Uygulama sonrası inceleme kapsamı,
uygulamadan sonraki uygulama seviye güvenliğini içerir ve eğer eski sistemden yeni sisteme ana kütükten bilgi veya bir veri
aktarımı olmuĢsa sistem dönüĢümünü kapsayabilir.
Bir Uygulama Sistemi Ġncelemesinin hedeflerini ve kapsamını, genellikle iĢ anlaĢması oluĢturur. ĠĢ anlaĢmasının, biçim ve
içeriği değiĢebilir fakat aĢağıdakileri içermelidir:








Ġncelemenin hedefleri ve kapsamı
Ġncelemeyi yapan BS Denetçisi/Denetçileri
BS Denetçisi/Denetçilerinin projeden bağımsızlığıyla ilgili ifadesi
Ġncelemenin ne zaman baĢlayacağı
Ġncelemenin zaman çerçevesi
Raporlama düzenlenmesi
KapanıĢ toplantısı düzenlenmesi
Hedefler, 7 COBIT bilgi kıstasını karĢılayacak biçimde geliĢtirilmiĢtir ve daha sonra kurum tarafından üzerinde
anlaĢılmıĢtır.
Söz konusu 7 COBIT bilgi kıstasları:







Etkinlik
Verimlilik
Gizlilik
Bütünlük
EriĢebilirlik
Uyumluluk
Bilginin güvenilirliği
2.1.8
Bir uygulama sisteminin bakım, uygulama, edinme ve geliĢiminde BS Denetçisinin daha önceden katılımı varsa ve bir
denetim görevi verilmiĢse, BS Denetçisinin bağımsızlığı zarar görmüĢ olabilir. BS Denetçisi, bu tür durumlarla nasıl baĢa
çıkacağını anlamak için uygun rehberlere baĢvurmalıdır.
3.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
3.1
3.1.1
ĠĢlemlerin AkıĢının Belgelendirmesi
Bilgi toplama, sistemin hem bilgisayarla hem de elle yapılan yönlerini kapsamalıdır. Odak noktaları, denetim amacı için önemli
olan veri girdisinde (elektronik veya elle), süreçlerde, depolamada ve çıktılar üzerinde olmalıdır. BS Denetçisi, iĢ sürecine ve
teknolojinin kullanımına bağlı olarak, iĢlemlerin akıĢının belgelendirmesinin pratik olmayacağını düĢünebilir. BS Denetçisi, bu
durumda yüksek seviye bir veri akıĢ çizelgesi veya varsa sistem belgelendirmesi hazırlamalıdır. Diğer sistemlerle uygulama
arayüzlerine de özen gösterilmelidir.
BS Denetçisi, gözden geçirme testi gibi usulleri uygulayarak belgelendirmeyi doğrulayabilir.
3.1.2
3.2
3.2.1
Uygulama Sistem Kontrollerini Tanımlamak ve Test Etmek
BS Denetçisi kontrollerin planlandığı gibi çalıĢtığına güvence sağlamak için, uygulama risklerini azaltacak özel
kontrolleri tanımlanmalı ve yeterli denetim kanıtı elde edilmelidir. Bu, aĢağıdaki maddeler yoluyla yapılabilir:



3.2.2.
3.2.3.
3.2.4.
4.
4.1
4.1.1
AraĢtırma ve gözlemleme
Belgelendirmenin incelenmesi
Programlı kontrollerin denendiği durumlarda uygulama sistem kontrollerinin test edilmesi, BDDT‘nin kullanımı
düĢünülebilir.
Test etmenin özelliği, zamanlaması ve sınırları, inceleme altındaki alanın risk seviyesine ve denetim amaçlarına
dayandırılmalıdır. BS Denetçisi, güçlü genel BT kontrollerinin olmadığı durumlarda bu zayıflığın bilgisayarlı uygulama
kontrollerinin güvenilirliği üzerindeki etkisini değerlendirebilir.
BS Denetçisi bilgisayarlı uygulama kontrollerinde önemli bir zayıflık bulursa, mümkün ise manuel gerçekleĢtirilen
süreci kontrollerinden (denetim amacına bağlı olarak). güvence elde edilmelidir
BilgisayarlaĢmıĢ kontrollerinin etkililiği, güçlü genel BT kontrollerine bağlıdır. Bu yüzden, eğer genel BT kontrolleri
Ġncelenmemesi, uygulama kontrollerine güvenilmesi önemli derecede sınırlandırılacaktır ve bilgisayarlı uygulama
kontrollerine seçenek oluĢturabilecek usuller düĢünmelidir.
RAPORLAMA
Zayıflıklar
Uygulama incelemesinde tanımlanan kontrol eksikliğinden veya uyumsuzluktan kaynaklanan zayıflıklar, iĢ süreci sahibinin ve
uygulamayı desteklemekten sorumlu BS yönetiminin dikkatine sunulmalıdır. Uygulama sistemleri incelemesindeki zayıflıkların
kayda değer veya önemli olduğunun düĢünüldüğü durumlarda, uygun yönetim seviyesi ivedi olarak düzeltici etkinliğe
baĢlamaları için uyarılmalıdır.
68
G14 Uygulama Sistemleri Ġncelemesi(Devamı)
4.1.3.
Etkin bilgisayarlı uygulama kontrolleri, genel BT kontrollerine bağlı olduklarından dolayı bu alandaki zayıflıklar da rapor
edilmelidir. Genel BT kontrollerinin incelenmediği durumlarda, bu gerçeğe raporda yer verilmelidir.
BS Denetçisi, raporunda kontrolleri güçlendirmek için uygun önerilere yer vermelidir.
4.
4.1
YÜRÜRLÜK TARĠHĠ
Bu rehber, bütün BS Denetimleri için 1 Kasım 2001 tarihinden itibaren etkindir.
4.1.2.
69
G15 Denetimin Planlanması
1.
1.1
1.1.1
ARKA PLAN
Standartlarla Bağlantı
S5 Planlama Standardı, BT denetim ve güvence uzmanları, bilgi sistemleri (BS) denetimi kapsamını denetim hedeflerine
iĢaret edecek ve yürürlükteki yasalarla ve mesleki denetim standartlarıyla uyumlu olarak planlamalıdırlar. Bunlar, aĢağıdakileri
geliĢtirmeli ve belgelemelidirler:
• Risk temelli bir denetim yaklaĢımı
• Gereken kaynakları, hedef ve doğasını, zamanlama ve kapsamının, hedeflerinin ayrıntılandıran bir denetim planı.
• Denetimi tamamlamak için ihtiyaç duyulan denetim süreçlerinin zamanlama ve uzunluğunu ve doğasını ayrıntılandıran bir
denetim programı ve/veya planı.
1.1.2
BT denetim ve güvence uzmanları, S11 Denetim Planında Risk Değerlendirmesinin Kullanımı Standardı bildirimine göre
aĢağıdakileri yapmalıdırlar:
• Bütün BT planını geliĢtirmede ve BT denetim kaynaklarının etkili dağılımı için öncelikleri belirlemede uygun bir risk
değerlendirme tekniği ya da yaklaĢımı kullanmak
• Bireysel gözden geçirmeleri planlarken, denetlenen alanla ve bunun iliĢkide olduğu denetlenebilir diğer alanlarla ilgili riskleri
tanımlamak ve değerlendirmek
1.1.3
BT denetim ve güvence uzmanları, S12 Denetim Önemliliği Standardı bildirimine göre aĢağıdakileri göz önünde
bulundurmalıdırlar:
• Denetim usullerinin doğasını, zamanlamasını ve süresini belirlerken denetimin önemliliği ve bunun denetim riski ile iliĢkisi
• Denetim planlaması yapılırken, kontrollerin olmaması ya da muhtemel zayıflıkları ve bu olmamanın ya da zayıflıkların bilgi
sistemlerinde muhtemel açıklarla ya da somut zayıflıklarla sonuçlanıp sonuçlanmadığı
• Küçük kontrol açıklarının ya da zayıflıklarının ve kontrollerin olmamasının toplam etkisinin bilgi sisteminde önemli açıklara ya
da somut zayıflılara dönüĢmesi
1.2.
CobIT Bağlantısı
1.2.1
Belli bir denetim kapsamında uygulanabilir en ilgili COBIT materyalinin seçimi, belli COBIT BT süreçlerinin seçimine ve COBIT
kontrol amaçlarının ve ilgili yönetim uygulamalarıyla iliĢkisini dikkate alınmasına bağlıdır. BT Denetim ve güvence
uzmanlarının planlama ihtiyacını karĢılamak için, aĢağıdaki gibi birincil ve ikincil olarak sınıflandırılan ve COBIT‘teki süreçlerle
en iliĢkili olabilen seçilir ve uyumlaĢtırılır. Seçilen ve uyarlanan süreç ve kontrol hedefleri, görevin özel kapsam ve Ģartlarına
uygun biçimde değiĢebilir.
1.2.3.
Birincil BT süreçleri:
• ME1 BT performansı izlemek ve değerlendirmek
• ME2 İç kontrol izlemek ve değerlendirmek
• ME3 Dışsal gerekliliklere uygunluğu sağlamak
1.2.5
Ġkincil BT süreçleri:
• ME4 BT yönetişimi sağlamak
En ilgili bilgi ölçütleri:
• Birincil: Etkililik, etkinlik, eriĢilebilirlik ve uygunluk
• Ġkincil: Gizlilik, bütünlük ve güvenirlik
1.3
Kılavuz Ġhtiyacı
1.3.1.
1.3.2.
Bu kılavuzun amacı, ITAF Standardı S5: BT Güvencesi Uzman Uygulama Çerçevesi‘nde belirtilen planlama süreçleri
unsurlarını tanımlamaktır.
Bu kılavuz, ayrıca CobIT hedeflerini karĢılayacak denetim süreçlerinin planlamasını sağlar.
2.
Ġġ HAZIRLIK EYLEMLERĠ
2.1
2.1.1
Amaç
ĠĢ hazırlık eylemlerini gerçekleĢtirmenin amacı, BT denetim ve güvence uzmanlarının, denetim iĢini planlama ve
gerçekleĢtirme ve denetim riskini kabul edilebilir düzeyde bir düĢüklüğe indirme yeteneklerini olumlu etkileyebilecek her türlü
koĢul ve olayı dikkate almalarını sağlamaya yardımcı olur. Bu iĢ hazırlık eylemlerini gerçekleĢtirmek, denetim iĢi planlarının
aĢağıdakileri içermesini sağlamasına yardım eder:
• BT denetim ve güvence uzmanları gerek duyulan bağımsızlığı ve iĢi gerçekleĢtirme yeteneğini sürdürürler
• BT denetim ve güvence uzmanları yönetimle, iĢi sürdürme isteklerini etkileyebilecek dürüstlük sorunları yaĢamazlar
• MüĢteri ile sözleĢme koĢullarıyla ilgili olarak bir yanlıĢ anlaĢılma söz konusu olmaz
2.2.
2.2.1.
Faaliyetler
BT denetim ve güvence uzmanları süreçleri, müĢteri iliĢkileri ve özel denetim iĢi sürekliliğini usüllerini gerçekleĢtirmelidir. Sürekli
denetim iĢi için, bu tür ilk süreçler bir önceki denetimle bağlantılı olarak ya da bir önceki denetim bittikten çok kısa bir süre sonra
ortaya çıkarlar.
BT denetim ve güvence uzmanları, bağımsızlık da dâhil olmak üzere etik gerekliliklere uygunluğu değerlendirmelidirler. BT denetim
ve güvence uzmanlarının hem müĢterinin sürekliliği ve (bağımsızlığı da içeren) etik gerekliliklerin değerlendirilmesi süreçleri
yapılmakta olan denetim iĢinin diğer önemli eylemleri gerçekleĢtirilmeden önce gerçekleĢtirilir.
BT denetim ve güvence uzmanları, iĢ koĢullarının anlayıĢını geliĢtirmelidirler.
1.2.4.
2.2.2.
2.2.3.
70
G15 Denetimin Planlaması devamı
3.
PLANLAMA
3.1.
Denetim Stratejisi
3.1.1.
BT denetim ve güvence uzmanları, iĢi, iĢin etkili bir yolla gerçekleĢmesini sağlayacak ve denetim için genel denetim stratejisini
oluĢturacak biçimde planlamalıdırlar. Yeterli planlama, denetimin önemli alanlarına uygun dikkatin sarf edilmesini, muhtemel
sorunların tanımlanmasına ve zamanında çözülmesine, denetim iĢinin etkili ve etkin bir yoldan gerçekleĢtirilmesi için uygun
biçimde örgütlenmesini ve yönetilmesini sağlamaya yardımcı olur.
Açık bir proje tanımı, proje etkililiğini ve etkinliğini sağlamada kritik bir etmendir. Denetim projesi, iĢ tanımı aĢağıdaki konuları
içermelidir:
3.1.2.
• Denetlenecek alanlar
• Planlanan iĢin türü
• Yüksek düzey hedefler ve iĢin kapsamı
• Konular, örneğin, bütçe, kaynak dağılımı, program tarihleri, rapor türü, hedef kitle
• Uygulanabilir olması durumunda iĢe dair diğer genel konular
3.1.3.
3.1.4.
3.1.5.
3.1.6.
3.1.7.
Bir iç denetim birimi için, bütünsel bir risk temelli denetim planı, sürmekte olan etkinlikler için en azından yıllık olarak
geliĢtirilmeli/güncellenmelidir. Bu yüksek düzey plan, denetim etkinlikleri için bir çerçeve olarak hareket etmeli ve denetim
yönetmeliğinde belirtilen sorumluluklara iĢaret etmeye hizmet etmelidir.
Bir plan, normalde her bir denetim görevi için hazırlanmalıdır. Plan, denetimin hedeflerini belgelemelidir.
Her denetim projesi, genel denetim planına gönderme yapmalı ya da yürütülen iĢin diğer ilgili açılarıyla birlikte özel
zorunlulukları ve hedefleri belirtmelidir.
BT denetim ve güvence uzmanları, denetlenenle, denetim alanıyla ve ilgili teknoloji altyapısıyla ilgili hedefleri dikkate aldıkları
bir denetim planı geliĢtirmelidirler. Uygun olan yerlerde, denetlenen alana ve bu alanın kuruluĢla (stratejik, mali ve/veya
iĢletimsel) iliĢkisini ayrıca dikkate almalı ve BT stratejik planı ve denetlenenle ilgili diğer ilgili belgelerin bilgisini de içeren
stratejik planla ilgili bilgi edinmelidirler.
BT denetim ve güvence uzmanları, denetlenenin o anki ve uygun olan yerlerde gelecekteki teknolojisi için uygun bir plan
tasarlayabilmekte denetlenenin teknolojik yönelimini ve bilgi mimarisi anlayıĢını edinmelidir.
3.2.
KuruluĢun Bilgisi
3.2.1.
Denetlenenin iĢini ve karĢı karĢıya olduğu riskleri anlamak, dolandırıcılık ya da uygunsuz uygulamalara en duyarlı alanlara
odaklanan etkili bir denetim planı geliĢtirmede kritik bir adımdır.
Bir denetim projesine baĢlamanda önce, BT denetim ve güvence uzmanlarının iĢi, denetim hedeflerini karĢılamak için uygun bir
yoldan planlanmalıdır. Planlama sürecinin bir parçası olarak, bunlar kuruluĢun ve süreçlerin anlayıĢını edinmelidirler. BT
denetim ve güvence uzmanlarına kuruluĢun iĢletimlerinin ve BT gerekliliklerinin anlayıĢını kazandırmak, gözden geçirilen BT
kaynaklarını kuruluĢun hedefleriyle iliĢkilendirmede onlara yardımcı olacaktır. BT denetim ve güvence uzmanları ayrıca,
denetim iĢinin kapsamını oluĢturmalı ve denetlenen birim üzerinde iç kontrol hazırlık değerlendirmesi gerçekleĢtirmelidirler.
BT denetim ve güvence uzmanının gereksindiği kuruluĢun bilgisinin kapsamı ve süreçleri, kuruluĢun doğası ve yürütülmekte
olan denetim iĢinin ayrıntı düzeyi tarafından belirlenecektir. BT denetim ve güvence uzmanları, sıra dıĢı ya da karmaĢık
iĢlemlerle ilgili olarak özel bir bilgiye gerek duyabilirler. KuruluĢa ve süreçlerine dair daha yoğun bilgi, denetim hedeflerinin
kısıtlı sayıdaki BT birimlerinden ziyade geniĢ kapsamlı bir BT birimleri kapsamına sahip olması durumunda doğal olarak gerekli
olacaktır. Örneğin, özel kütüphane sistemi programı kontrolleri testi hedefine kıyasla kuruluĢun bordro sistemi üzerindeki
kontrolleri hedefleyen bir denetim normal olarak kuruluĢa dair daha derin bir anlayıĢ edinmeyi gerektirecektir.
BT denetim ve güvence uzmanları, denetim projesinin konusu olan özel kuruluĢ, süreç, birim, süreç ve veri gibi önemli etkilere
sahip olan uygulamalar, iĢlemler, olaylar ve personel türü hakkında bir anlayıĢ kazanmalıdırlar. KuruluĢ bilgisi, kuruluĢun karĢı
karĢıya olduğu iĢe dair, mali ve kalıcı risklerle kuruluĢun içinde yer aldığı pazar koĢullarını ve kuruluĢun hedeflerini
gerçekleĢtirmek için kullandığı dıĢ kaynakların kapsamını da içermelidir. BT denetim ve güvence uzmanları, bu bilgileri
muhtemel sorunları tanımlamakta, hedefleri ve çalıĢma kapsamını biçimlendirmekte, iĢi yürütmekte ve yönetimin uyarılmasını
gerektiren yönetim eylemlerini dikkate almada kullanmalıdırlar.
3.2.2.
3.2.3.
3.2.4.
3.3
3.3.1.
Önemlilik
Planlama sürecinde, BT denetim ve güvence uzmanları, denetim hedeflerini gerçekleĢtirmek için denetim iĢinin yeterli olacak
olması ve denetim iĢinin denetim kaynaklarını etkin kullanacak olması gibi planlama önemlilik düzeylerini düzenli olarak
oluĢturmalıdırlar. Örneğin, var olan bir sistemin denetiminde BT denetim ve güvence uzmanı, yürütülmekte olan iĢ için denetim
programı planlamasında çeĢitli sistem unsurlarının önemliliğini değerlendirecektir. Önemliliğin belirlenmesinde hem niteliksel
hem de niceliksel noktalar dikkate alınmalıdır.
3.4.
3.4.1.
Risk Değerlendirmesi
BT denetim ve güvence uzmanları, denetim riskini kabul edilebilir düzeye indirerek denetimi gerçekleĢtirmek için bir denetim
planı geliĢtirmelidirler.
Denetim iĢi boyunca bütün somut unsurların yeterince kapsandığının makul bir güvencesini sağlamak için bir risk
değerlendirmesi gerçekleĢtirilmelidir. Bu değerlendirme, görece daha yüksek ihtimalle somut sorunları içerebilecek alanları
tanımlamalıdır.
KuruluĢun BT çevresi ve denetim altındaki alan için risk değerlendirmesi ve tanımlanan risklere önceliklendirilmesi, ihtiyacı tam
olarak karĢılanıncaya kadar gerçekleĢtirilmelidir.
3.4.2.
3.4.3.
71
G15
3.5.
3.5.1.
Denetimin Planlaması devamı
Ġç Kontrol Değerlendirmesi
Denetim ve güvence projeler, doğrudan proje hedeflerinin bir parçası olarak ya da projenin bir parçası olarak toplanan
bilgilerin güvenirliğinin temelini oluĢturması dolayısıyla iç kontrolleri dikkate almayı içermelidirler. Ġç kontrollerin
değerlendirilmesinin hedef olduğu yerlerde, BT denetim ve güvence uzmanlarının bu kontrolleri denetlemek için gerekli olacak
kapsamı dikkate almaları gerekmektedir. Belli bir zaman diliminde kontrollerin etkililiğinin değerlendirilmesini N hedef olması
3.5.2.
durumunda denetim planı, denetim hedeflerini gerçekleĢtirecek uygun süreçleri içermeli ve bu süreçler kontrollerin uygunluk
testini içermelidir. Hedefin, bir zaman diliminde kontrollerin etkililiğini değerlendirmek olmasından ziyade bir zaman
noktasındaki kontrolleri tanımlamak olması durumunda, kontrollerin uygunluk testi yapılmayabilir.
BT denetim ve güvence uzmanları iç kontrolleri, denetimin bir parçası olarak toplanan bilginin desteklediği kontrol süreçlerine
4.
4.1.
4.1.1.
4.1.2.
güvenme amacıyla değerlendirdiklerinde, bu değerlendirme temelinde denetim planı oluĢturmalı ve kontrol değerlendirmesi
hazırlığını gerçekleĢtirmelidirler. Denetim süresince, BT denetim ve güvence uzmanları, test boyunca hangi kontrollere
güvenilebileceğini belirlemede bu testin uygunluğunu göz önünde bulundurmalıdırlar. Örneğin, veri dosyalarını kontrol etmede
kullanılacak bir bilgisayar programında, BT denetim ve güvence uzmanı, programların yetkisiz değiĢikliklerden ne dereceye
kadar korunduğunu belirlemeyi amaçlayan denetim için kullanılan programları içeren kitaplığın kontrollerini değerlendirmelidir.
DENETĠMĠN SÜRESĠ BOYUNCA DEĞĠġĠKLĠKLER
Strateji ve Planlama
Genel denetim stratejisi ve denetim planı, denetim süresi boyunca gerekli olması durumunda güncellenmeli ve değiĢtirilmelidir.
Planlanan bir denetim, sürekli ve yinelenen bir süreçtir. Beklenmeyen olaylar, koĢullardaki değiĢiklikler ya da denetim süreçleri
4.1.3.
sonuçlarından elde edilen denetim kanıtları sonucunda BT denetim ve güvence uzmanları, sonraki süreçlerin planlanmıĢ
doğasını, zamanlamasını ve kapsamını ve toplam denetim stratejisini iyileĢtirmeye gerek duyabilirler.
Denetim planlaması, kuruluĢ için yüksek riskler anlamına gelen beklenmedik olayların gerçekleĢme ihtimalini göz önünde
bulundurmalıdır. Bu nedenle, denetim planı, yeterli risk değerlendirmesi yoluyla denetim ve güvence süreçleri içinde bu tür
olaylara öncelik verebilmelidir.
5.
5.1.
5.1.1.
DENETĠM
ĠĢ Takımı Üyeleri
BT denetim ve güvence uzmanları, iĢ takım üyelerinin doğasını, zamanlamasını ve kapsamını, denetimlerini ve iĢlerinin
6.
6.1.
6.1.1.
6.1.2.
6.2.
6.2.1.
gözden geçirilmesini planlamalıdırlar. Bu planlama, kuruluĢun büyüklüğü ve karmaĢıklığı, denetim alanı, maddi yanlıĢ bildirim
riskleri, denetim iĢini gerçekleĢtiren personelin yeterlilikleri ve salahiyetleri ve değerlendirilen maddi yanlıĢ bildirim riski
temelindeki iĢ takım üyelerinin denetimi ve yönelimlerin kapsamı gibi çok sayıda faktöre bağlıdır.
DOSYALAMA
Planlama Dosyalaması
BT denetim ve güvence uzmanının çalıĢma kâğıtları, denetim plan ve programını içermelidir.
Denetim planı, kâğıt olarak ya da diğer uygun ve yeniden eriĢilebilir biçimlerde dosyalanabilir.
Planın Onaylaması
Uygun kapsamda, denetim planı, denetim programı ve sonradan yapılan her değiĢiklik, denetim yönetimi tarafından
onaylanmalıdır.
6.3.
6.3.1.
Denetim Programı
ĠĢe baĢlamadan önce, denetim için hazırlanmıĢ bir program, BT denetim ve güvence uzmanı tarafından düzenli olarak
6.3.3.
6.3.4.
oluĢturulmalıdır. Bu denetim programı, BT denetim ve güvence uzmanına, denetim iĢinin tamamlanmasını kaydetmesine ve
daha sonra yapılacak iĢleri tanımlamasına izin verecek bir yolla dosyalanmalıdır. ĠĢ ilerledikçe, BT denetim ve güvence
uzmanı, denetim boyunca toplanan bilgilere dayanarak programın yeterliliğini değerlendirmelidir. BT denetim ve güvence
uzmanları, planlanan süreçlerin yeterli olmadığını belirledikleri zaman, programı buna göre iyileĢtirmelidirler.
BT denetim ve güvence uzmanı, gerek duyulan denetim kaynaklarına bağlı olarak, denetim planında gerek duyulan
insan kaynakları yönetimini kapsamalıdır.
Denetim planı, ITAF‘da tanımlanan standartlara ek olarak, ilgili dıĢsal gerekliliklere uygun hazırlanmalıdır.
BT denetim ve güvence uzmanı, kullanıĢlılık kapsamında, yapılacak iĢlerin listesine ek olarak, personel listesi, iĢi tamamlamak
6.3.5
için gerek duyulan diğer kaynaklar, iĢ çizelgesi ve bir bütçe hazırlamalıdır.
Denetim programı ve/veya planı, denetim boyunca ortaya çıkan (yeni riskler, yanlıĢ varsayımlar ya da tamamlanmıĢ süreçlerin
7.
7.1.
bulguları) sorunlara iĢaret etmek için denetim süresi boyunca ayarlanmalıdır.
YÜRÜRLÜK TARĠHĠ
Bu kılavuz, 1 Mayıs 2010 tarihinden sonra baĢlayan bütün denetimler için geçerlidir.
6.3.2.
72
G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri
1.
1.1
1.1.1
1.1.2
1.2
1.2.1
1.2.2
1.2.3
1.2.4
ARKA PLAN
ISACA Standartlarıyla Bağlantı
S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve
yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ Ģeklinde ifade eder.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak
için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.
Tanımlamalar
ISP-Ġnternet Hizmet Sağlayıcı: Kurumlara internet ve internet bağlantılı hizmetler sağlayan üçüncü taraftır.
ASP/MSP-Uygulama veya yönetilmiĢ hizmet sağlayıcı: Uygulamaları ve bilgisayar hizmetlerini, çoklu kullanıcılara internet
veya özel ağ yoluyla verilen güvenlik hizmetleri dahil, yöneten ve teslim eden üçüncü taraftır.
BSP-ĠĢ Hizmet Sağlayıcı-Ödeme süreci, satıĢ sipariĢi süreci ve uygulama geliĢimi gibi iĢ sürecinin dıĢarıdan sağlanmasını
tan desteklenmesini sağlayan bir ASP‘dir.
Bu rehberde ISP, ASP/MSP ve BSP topluca üçüncü taraf olarak ifade edilmiĢtir. Bu rehberde belirtilen üçüncü taraflar,
kurumdan –yasal veya değil- ayrı olan diğer her türlü kurumu (paylaĢılmıĢ hizmet kurumları gibi) içerir.
1.3
1.3.1
Rehber Uygulaması
Bu Rehberi uygularken, BS Denetçisi diğer ilgili ISACA yönetmeliklerinin yol göstericiliğini dikkate almalıdır.
1.4
1.4.1
1.4.2
Rehber Gereksinimi
Bu rehber BS Denetçisinin, ISACA Standartları ve COBIT‘‘in üçüncü taraf bir kurumun, BS kontrolleri ve ilgili kontrol hedefleri
üzerindeki etkilerini değerlendirirken nasıl uyum içerisinde olacağını ortaya koyar.
Bu rehberde, BS Denetçisinin üçüncü tarafların kontrolleri üzerinde nasıl rapor vereceklerine yol göstermek amaçlanmamıĢtır.
2.
ÜÇÜNCÜ TARAF SERVĠS SAĞLAYICILARIN ROLÜ
2.1
2.1.1
Üçüncü Taraf Sağlayıcıların Hizmetleri
Kurumlar, interneti ve ortak intraneti değiĢik amaçlar için kullanmaktadırlar. Bunlar, satıcılar, çalıĢanlar ve var olan müĢterilerin
eriĢimi/eriĢilmesi olduğu ve/veya yeni insan, finans, satıĢ ve satın alma kaynaklarına eriĢimini içerir. Bu eriĢim birçok
durumda, bir veya daha fazla üçüncü taraf sağlayıcılarınca sağlanır.
Üçüncü taraf veya kurumlar aĢağıdaki gibi hizmetleri sağlar:
2.1.2










Ġç ağların internete bağlanması
Sanal özel ağların veya dıĢ ağlar yoluyla kurum iĢ ortaklarının bağlantısı
Kablosuz teknoloji kullanılarak müĢterilerle bağlantı
Web sitesi geliĢtirme
Web site bakımı, yönetimi ve izlenmesi
Web sitesi güvenlik hizmetleri
Donanım için fiziksel yer temini (ortak konumlandırma olarak da bilinir)
Yedekleme ve geri kurtarma hizmetleri
Uygulama geliĢimi, bakımı ve hostingi (ERP sistemleri, e-ticaret sistemleri gibi)
Nakit yönetimi, kredi kartı, sipariĢ süreci ve çağrı merkezi hizmetleri gibi iĢ hizmetleri
3.
3.1
KONTROLLER ÜZERĠNDEKĠ ETKĠ
Kontroller Üzerinde Üçüncü Taraf Sağlayıcılarının Etkisi
3.1.1
Kurumlar, üçüncü taraf veya kurumları kullanınca bunlar bir kurumun kontrollerinde ve ilgili kontrol hedeflerine ulaĢmada
anahtar rollere sahip olabilir.
3.1.2
BS Denetçisi, üçüncü taraf rollerini BT ortamıyla, ilgili kontrollerle ve kontrol hedefleriyle ilgili olarak değerlendirmelidir.
3.1.3
Sınırlı amaçlarla üçüncü taraf tedarikçileri kullanan bir kurum (ortak konumlandırma hizmetleri gibi), bu üçüncü taraf veya
kurumlara, kontrol hedeflerine ulaĢmada sınırlı amaçlar için güvenebilirler.
Fakat, mali hesap sistemleri ev sahipliği ve e-ticaret sistemleri gibi diğer amaçlar için tedarikçileri kullanan bir kurum, üçüncü
taraf tedarikçinin kontrollerini tamamen veya kendi kontrolleriyle birlikte kullanır.
3.1.4
3.1.5
Üçüncü taraf kontrollerinin etkinliği, bir kurumun kendi kontrol hedeflerine ulaĢmasını hızlandırabilir ve tersine etkisiz üçüncü
taraf kontrolleri kendi kontrol hedeflerini baĢarma imkanını zayıflatabilir. Bu zafiyetler aĢağıdaki maddeler dahil birçok
sebepten kaynaklanabilir:




Hizmetlerin, dıĢarıdan üçüncü taraflara yaptırılmasından doğan kontrol ortamındaki boĢluklar
Kontrollerin etkisiz biçimde sürecine yol açan zayıf kontrol tasarımı
Kontrol iĢlevlerinden sorumlu personelin bilgi veya deneyim eksikliği
Üçüncü taraf kontrollerine aĢırı güvenme (kurum içerisinde bunu dengeleyen kontroller yoksa
73
G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı)
4
BS DENETÇĠSĠNCE GERÇEKLEġTĠRĠLECEK PROSEDÜRLER
4.1
4.1.1
Bilgi Edinme
BS Denetçisi, planlama sürecinin bir bölümü olarak üçüncü taraflarca sağlanan hizmetler ve kurumun kontrol ortamı
arasındaki iliĢki hakkında bir anlayıĢ geliĢtirmeli ve belgelendirmelidir. BS Denetçisi, kurum ile üçüncü taraflar arasındaki
sözleĢme, hizmet seviye anlaĢması, politikalar ve usuller gibi unsurları incelemeyi düĢünmelidir.
BS Denetçisi, kurumun süreci ve kontrol amaçları üzerinde etkisi olan üçüncü tarafların süreci ve kontrollerini
belgelendirmelidir.
BS Denetçisi, her kontrolü ve bileĢik kontrol ortamındaki yerini (iç veya dıĢ), kontrol çeĢidini, iĢlevini (önleyici, tespit edici veya
düzeltici) ve iĢlevi gerçekleĢtiren kurumu (iç veya dıĢ) tanımlamalıdır.
BS Denetçisi, üçüncü taraflarca sağlanan hizmetlerin riskini, kontrollerini ve kontrol hedeflerini değerlendirmelidir ve üçüncü
taraf kontrollerinin kurumun kontrol hedeflerini karĢılamadaki önemini belirlemelidir.
4.1.2
4.1.3
4.1.4
4.2
4.2.1
4.2.2
Bilginin Onaylanması
BS Denetçisi, kontrol ortamına dair kendi bilgisini onaylamalıdır.
BS Denetçisi, kontrol ortamına dair kendi bilgisini sorgulama, gözlemleme ve iĢlemlerin gözden geçirmesi yoluyla
onaylayabilir.
4.3
4.3.1
Üçüncü Taraf Tedarikçi Kontrollerinin Rolünün Değerlendirilmesi
BS Denetçisi, üçüncü Ģahısların, kurumun kontrol hedefleri üzerindeki rol ve etkileri önemliyse bu kontrolleri, tanımlandıkları
gibi ve etkin bir biçimde çalıĢıp çalıĢmadıklarını ve kuruma kontrol hedeflerine ulaĢmada yardımcı olup olmadıklarını
belirlemek için değerlendirmelidir.
5.
ÜÇÜNCÜ TARAF VE KURUMLARLA ĠLGĠLĠ RĠSKLER
5.1
5.1.1
Bir Kurum Üzerindeki Üçüncü Tarafların Etkileri
Üçüncü taraflar bir kurumu, sürecini, kontrollerini ve kontrol hedeflerini birçok farklı biçimlerde etkileyebilirler. Bu, aĢağıdakine
benzer maddeleri içerir:
5.1.2
5.2
5.2.1
5.2.2
5.2.3






Üçüncü taraf veya kurumun finansal kapasitesi




Bilgi gizliliğinin ve mahremiyetinin kaybedilmesi


Sistem kaynaklarının ve/veya bilgi değerlerinin kaybı
Üçüncü tarafın, kendi iletiĢim sistemleri ve uygulamaları yoluyla iletilen bilgiye eriĢimi
Sistem ve uygulamaların eriĢilebilirliği
ĠĢleme bütünlüğü
Uygulama geliĢtirme ve değiĢiklik yönetim süreci
Sistemlerin ve bilginin değerlerinin yedekleme, kurtarma planı ve fazladan yedeklemeyle yollarla korunması
Kontrollerin tasarım, iĢleyiĢ ve faaliyetlerindeki zafiyetler aĢağıdakilere benzer durumlara yol açabilir:
Sistemlerin kullanılması gerektiği durumda eriĢilememesi
Sistemlere, uygulamalara ve verilere yetkisiz eriĢim
Sistemlere, uygulamalara ve verilere yapılan ve güvenlik hatalarına, veri kaybına, veri bütünlüğü kaybına, veri koruma
kaybına veya sistemlere eriĢilememesine yol açan değiĢimler
Yukarıdakilerden herhangi birinden kaynaklanan artan kurum maliyetleri
Tanımlanan Kontrol Zafiyetlerinin Değerlendirilmesi
BS Denetçileri, BT ortamında kontrollerde tasarımda veya iĢleyiĢte zafiyetlerin olma ihtimalini(veya kontrol riskini)
değerlendirmelidir. BS Denetçisi, kontrol zayıflıklarının nerede olduğunu belirtmelidir.
BS Denetçisi, daha sonra bu kontrol riskinin önemli olup olmadığını ve nerede olduğunu değerlendirmelidir.
Zafiyetler tanımlanınca BS Denetçisi, belirtilen zafiyetlerin etkisini yok edecek düzeltici kontrollerin olup olmadığını
belirlemelidir (düzeltici kontroller kurumda, üçüncü taraflarda veya her ikisinde de var olabilir). Eğer bunlar varsa BS Denetçisi,
kontrol zayıflıklarının etkilerini azaltıp azaltmayacaklarını belirlemelidir.
74
G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı)
6
ÜÇÜNCÜ TARAF TEDARĠKÇĠLERLE SÖZLEġMELER
6.1
6.1.1
Roller ve Sorumluluklar
Bir kurumla, üçüncü Ģahıs tedarikçiler arasındaki iliĢki bir sözleĢme biçiminde belgelendirilmelidir. SözleĢme, bu ikili
arasındaki iliĢkide kritik öğedir. Bu sözleĢmeler, her iki tarafın da hareket ve sorumluluklarını yöneten birçok hükmü de içerir.
BS Denetçisi, kurum ile üçüncü taraf arasındaki bu sözleĢmeyi incelemelidir.
BS Denetçisi, bu rehber bağlamı içerisinde, kuruma kontrol hedeflerine ulaĢmada üçüncü tarafların rol ve sorumluluklarını
belirlemek için sözleĢmeyi incelemelidir (olanaklıysa kurumun hukuk danıĢmanıyla birlikte). Bir sözleĢmenin nasıl inceleneceği
bu rehberin kapsamı dıĢındadır; fakat aĢağıdaki liste, BS Denetçisi tarafından sözleĢmenin incelenmesi sırasında göz önünde
bulundurulacak konulara ait örnekler sunar:
6.1.2
6.1.3







Üçüncü tarafça, sağlanan hizmetin seviyesi (kuruma, ortağına veya her ikisine)

Yedekleme ve geri kurtarma, olağanüstü durum planlaması ve gereğinden fazla olması gibi sistemler ve veri koruma
hükümleri


6.1.4
6.2
6.2.1
6.2.2
Üçüncü tarafça bildirilen ücretlerin makul oluĢu
Veri ve uygulama mahremiyeti ve gizliliği sorumlulukları
Sistem, iletiĢim, iĢletim sistemi, yazılım araçları, veri ve uygulama yazılım eriĢim kontrolleri, yönetim sorumlulukları
Varlıklar, ilgili veriler, müdahale, ve raporlama usullerinin izlenmesi (rutin, olay)
Veri ve alan adları dahil, bilgi varlıkları sahipliği Ģartları
DeğiĢim belgelendirmesi, kaynak kodu ve güvenli emanet anlaĢmaları dahil üçüncü taraflarca geliĢtirilen
programlamanın sahiplik Ģartları
Denetim sözleĢmelerine eriĢim hakkı (üçüncü Ģahıs tedarikçi iç denetim personeli ile görüĢme ve denetim iĢlerini ve
raporlarını inceleme dahil)
SözleĢmede ve ilgili belgelerde yapılan değiĢikliklerin görüĢme, inceleme ve onayı için süreci (hizmet seviye anlaĢmaları
ve usuller gibi)
BS Denetçisi, asgari olarak sözleĢmeyi, üçünü tarafların kurum adına üstlendiği kontroller için sorumlulukları belirlemek için
incelemelidir. Bu süreç, belirtilen kontrollerin yeterliğini ve uyum izlemesini/raporlamasını, tasarımlarını ve iĢleyiĢ faaliyetlerini
değerlendirmelidir..
Kurumsal YönetiĢim
Yönetim, üçüncü taraf tedarikçiler iĢin içinde olsalar bile hala ilgili kontrol hedeflerine ulaĢılmasından sorumludur. Bu
sorumluluğun bir bölümü olarak yönetim, üçüncü taraf tedarikçi ile iliĢkiyi ve performansı yönetecek bir süreciye sahip
olmalıdır. BS Denetçisi, bu sürecinin bileĢenlerini tanımlamalı ve incelemelidir. BS Denetçisi, üçüncü taraflarla ilgili riskleri ve
bunlar tarafından sağlanan hizmetlerin nasıl yönetildiğini ve yönetimin bunlar arasındaki iliĢkiyi nasıl yönettiğini belirtmelidir.
BS Denetçisinin yönetiĢim süreciyle ilgili incelemesi, yönetimin üçüncü taraf tedarikçileri performans standartlarına göre ya da
sözleĢmede belirtilen kıstaslar doğrultusunda incelediğini veya herhangi bir düzenleyici kurum tarafından ortaya konulan
standartlara göre incelediğini ortaya koymalıdır. YönetiĢim süreci, aĢağıdaki gibi konuların incelenmesini içermelidir:





Üçüncü taraf tedarikçilerin mali performansları
SözleĢme Ģartlarıyla uyum
Üçüncü taraflar, denetçileri ve/veya düzenleyicileri tarafından yönetilen kontrol ortamının değiĢiklikleri
Üçüncü tarafların denetçileri ve danıĢmanları dahil, diğerlerinin kontrol incelemelerinin sonuçları
Yeterli sigorta seviyeleri
7.
ÜÇÜNCÜ TARAF TEDARĠKÇĠLERĠN KONTROLLERĠNĠN GÖZDEN GEÇĠRĠLMESĠ
7.1.
7.1.1.
SözleĢme Konuları
BS Denetçisi, üçüncü taraf tedarikçi kontrollerini incelerken kurum ile üçüncü taraf tedarikçi ve onun kontrolleri ile ilgili
değerlendirmeleri ve raporları arasındaki iliĢkiyi göz önünde bulundurmalıdır.
BS Denetçisinin, sözleĢme konuları üçüncü taraf tedarikçideki kontrolleri incelemesini önleyebilir. BS Denetçisi, bu tür
durumlarda, BS kontrol ortamını değerlendirmesinin kapsamını sınırlayan bu durumu değerlendirmelidir.
7.1.2.
7.2.
Bağımsız Raporlar
7.2.1.
Üçüncü taraf tedarikçiler, kendi kontrolleri ile ilgili bağımsız raporlar getirebilirler. Bu raporlar, hizmet büro denetim raporu
veya diğer kontrol temelli raporlar olabilir. BS Denetçileri, bu raporları kullanabilirler. Eğer BS Denetçisi ,üçüncü tarafta bilgi
sistemleri konusunda bağımsız rapora güven temelinde kullanmaya karar verirse, aĢağıdakileri belirlemek için bu raporları
incelemelidir:
75
G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı)




7.3.
7.3.1.
7.3.4.
7.3.5.
7.4.
7.4.1.
7.4.2.
7.4.3.
7.4.4.
7.4.5.
7.4.6.
Raporun kapsam süresi
Raporun yeterli olup olmadığı (raporun sistemleri ve kontrolleri içermesi durumu ve BS Denetçisinin iĢi kendisi yapsaydı
dahil edeceği testlerin olup olmaması)
Eğer kontrollerin testinin BS Denetçisinin bağımsız kiĢiye güvenebileceği ölçüde yeterli olması (gerçekleĢtirilen usullerin
doğası, zamanlaması ve sınırları bakımından).


Rapor hizmet sağlayıcının sorumlulukları ve kullanıcı kurumun sorumluluklarını belirtiyor olması
Kullanıcı kurumun sorumluluklarını uygun kontrollerle yerine getirmesi
Üçüncü Taraf Kontrolleri Testi
BS Denetçisi, doğrudan üçüncü taraf tedarikçide kontrolleri teste karar verirse o zaman denetçi aĢağıdakileri yapmalıdır:




7.3.3.
Bağımsız kiĢinin, üçüncü taraf tedarikçiyle bağımsızlık ve tarafsızlığını zedeleyecek iliĢkisinin olmaması


7.3.2.
Bağımsız tarafın/kurumun nitelikli olması. Bu, bağımsız kiĢinin uygun mesleki belgesinin olup olmamasını, deneyiminin
olup olmamasını ve mesleki, düzenleyici yetkililerle uyumlu olup olmamasını içerir.
Yönetimle çalıĢmak ve eğer uygulanabilir ise her iki kurumun da iç denetimi, görevi planlamak, amaçlarını ve inceleme
kapsamını çıkarmak
Yönetimle çalıĢmak ve eğer uygulanabilir ise iç denetim ve her iki kurumun da personelinin zamanlamayı belirlemesi,
personel gereksinimleri ve diğer konular
Üçüncü Ģahısların sistemlerine ve değerlerine eriĢim ve gizlilik
Bir denetim programı, bütçe ve görev planı geliĢtirmek
Kontrol hedeflerinin onayı
BS Denetçisi, saha çalıĢmasını bitirdiği zaman, test edilen kontrollerin etkililiği ile ilgili bir sonuç bildirisi hazırlanmalıdır. BS
Denetçisi, kurum ile üçüncü taraf arasındaki her bir kurumdaki kontrollerin etkinliğini ve kontrollerin karĢılıklı etkileĢimlerini
incelemelidir.
Çoğu durumda, kontroller üçüncü taraf tedarikçi ve kurum arasında örtüĢür. BS Denetçisi, birlikte ve bireysel alınan
kontrollerin iĢleyiĢ etkinliğini değerlendirmelidir.
Belirli bir hedef için kontrollerin bulunmadığı veya etkin bir biçimde iĢlemediği durumlar olabilir. BS Denetçisi, bu durumda bu
zafiyetin bütün kontrol ortamına ve usullerine etkisini değerlendirmelidir.
Bir kurumdaki, güçlü kontrolün baĢka bir kurumdaki kontrol zafiyeti tarafından kısmen veya tamamen etkisiz hale geldikleri
durumlar da olabilir. BS Denetçisi, tüm kontrol çevresinde bu durumu değerlendirmelidir.
Üçüncü Taraf Tedarikçinin Ġç denetçileri
BS Denetçisi, üçüncü Ģahıs tedarikçinin iç denetim biriminin olup olmadığını öğrenmelidir. Bunun varlığı üçüncü taraf
tedarikçide kontrol ortamının gücünü artırabilir.
BS Denetçisi, eğer bir iç denetim birimi varsa, kurumu etkileyen sistemler ve kontrollerle ilgili faaliyetlerinin sınırlarını
araĢtırmalıdır.
BS Denetçisi, mümkün ise, ilgili üçüncü taraf tedarikçinin iç denetim raporlarını incelemelidir.
BS Denetçisi, bu raporların incelenmesinin mümkün olmadığı durumlarda bu incelemelerin kapsamını, incelemelerde hangi
sistem ve kontrollerin kapsandığını ve önemli konular ve zafiyetleri ele almalıdır.
BS Denetçisi, eğer üçüncü taraf tedarikçi bu raporlara veya iç denetim personeline eriĢim izni vermeye istekli değilse o zaman
bu sınırlamayı değerlendirmelidir.
BS Denetçisi, üçüncü taraf tedarikçinin iç denetim personelinin deneyimini ve yeterliliklerini de değerlendirmeyi düĢünmek
durumundadır. Bu, onlarla konuĢarak ve çalıĢma planlarının, belgelerinin ve raporlarının incelenmesi gibi ek usullerle olabilir.
8.
ÜÇÜNCÜ TARAFLARIN ALT ĠġVERENLERĠ(TAġERONLARI)
8.1
8.1.1
Kontrollere Etkisi
BS Denetçisi, üçüncü Ģahısların sistem ve hizmetlerini sağlamak için alt iĢveren (taĢeron) kullanıp kullanmadığını
belirlemelidir.
BS Denetçisi, bunların var olduğu durumlarda bunların kurumla ilgili ana üçüncü tarafın kontrolleri üzerindeki saptayarak alt
iĢverenin önemini gözden geçirmelidir..
8.1.2
8.2
8.2.1
8.2.2
SözleĢme Üzerinde Etkisi
BS Denetçisi, alt hizmet sağlayıcısının kurumla ilgili kontroller üzerinde önemli bir etkilerinin olmadığı durumlarda bunu
çalıĢma kâğıtlarında belgelemelidir.
BS Denetçisi, eğer alt iĢveren, kurum ilgili kontroller üzerinde önemli bir etkiye sahipse o zaman taĢeronla üçüncü
taraf/kurumun iliĢkisini yönetmek ve izlemek için üçüncü taraf/kurumun kullandığı süreci değerlendirmelidir. BS Denetçisi,
üçüncü taraf/kurumun taĢeronları üzerindeki kontrollerini değerlendirirken bu rehberin 6. ve 7. bölümlerini göz önünde
bulundurmalıdır.
76
G16 Kurumun BT kontrollerinde Üçüncü KiĢilerin Etkileri(Devamı)
9.
RAPORLAMA
9.1
9.1.1
Zayıflıklar
BS Denetçisinin raporu, incelemeye tabi kontrollerin üçüncü taraf/kurumlardaki ve kurum içerisindekiler olduklarını
belirtmelidir. BS Denetçisi, ayrıca kontrolleri, kontrol zafiyetlerini ve her kurumda var olan düzeltici kontrollerin tanımlanmasını
düĢünmelidir.
Sonuçların ve önerilerin sınırı sözleĢme Ģartlarına göre belgelendirilmelidir. Bazı üçüncü taraf/kurumlar, önerileri uygulamaya
istekli olmayabilir veya yapamayabilirler. BS Denetçisi, bu gibi durumlarda dengeleyici kontrollerin üçüncü taraf/kurumda
uygulayabileceklerini önermelidir.
9.1.2
10.
10.1.
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimleri için 1 Mart 2002 tarihinden itibaren geçerlidir.
77
17 BT Denetim ve Güvence Uzmanın Bağımsızlığı Üzerinde Denetim DıĢı Rollerin Etkisi
1
1.1
ARKA PLAN
Standartlarla Bağlantı
1.1.1. S2 Bağımsızlık Standardı; ―Denetimle ilgili bütün konularda, BT Denetim ve güvence uzmanı hem tavır hem de
denetlenen kurumdan bağımsız olmalıdır.‖Ģeklinde ifade eder.
görünüĢ olarak
1.1.2. S2 Bağımsızlık Standardı; ―BS Denetim ve güvence iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir
biçimde
tamamlanmasına olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır.‖ Ģeklinde ifade eder.
1.1.3 S3 Meslek Etik ve Standardı; ―BT Denetim ve Güvence Uzmanı, Denetim ve güvence görevinin yürütülmesinde yürürlükteki
mesleki standartların göz önünde bulundurulmasını kapsayan zorunlu mesleki standartları uygulamalıdır.‖ Ģeklinde ifade eder.
1.2. CobIT Bağlantısı
1.2.1. Belirli bir denetim kapsamına uygulanacak en uygun CobIT materyalinin seçimi, CobIT‘teki BT süreçlerinin, CobIT
kontrol hedeflerinin seçimine ve bağlantılı yönetim uygulamalarına dayanır. BT denetim ve güvence uzmanının bağımsızlığı üzerinde
denetim dıĢı rollerin etkisi ihtiyacını karĢılamak için CobIT‘teki en uygun süreçler seçilmiĢ ve aĢağıda birincil ve ikincil olarak
sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreçler ve kontrol hedefleri, görevlendirmenin veya iĢ anlaĢmasının belirlediği kapsama ve
Ģartlara göre değiĢebilir.
Birincil BT süreçleri:
1.2.2
 P06 Yönetimin Hedef ve Yönelimin Bildirilmesi
 P09 BT Risklerinin Değerlendirilmesi ve Yönetilmesi
 P010 Projelerin Yönetilmesi
 DS2 Üçüncü Taraf Hizmetlerinin Yönetimi
 DS7 Kullanıcıların Eğitilmesi ve YetiĢtirilmesi
 ME2 Ġç Kontrollerin Ġzlenmesi ve Değerlendirilmesi
 ME3 Düzenlemelere Uyumun Sağlanması
 ME4 BT YönetiĢiminin Sağlanması
1.2.3. Ġkincil BT süreçleri:
 P07 BT Ġnsan Kaynaklarının Yönetilmesi
 DS10 Sorunların Yönetimi
1.2.4. En ilgili bilgi kriterleri:
Birincil: Güvenilirlik, gizlilik, uygunluk ve etkililik
Ġkincil: Etkinlik, bütünlük ve eriĢilebilirlik
1.3
Rehber Gereksinimi
1.3.1.
Birçok kurumda, yönetimin, BS personelinin ve iç denetimin beklentisi, BT Denetim ve Güvence Uzmanı aĢağıdaki gibi denetim dıĢı
rollerde yer
alabilmesini içerebilir:







1.3.2.
1.3.3.
Teknoloji, uygulamalar ve kaynaklar gibi alanlarla ilgili BS stratejilerinin tanımlanması,
Teknolojilerin değerlendirmesi, seçilmesi ve uygulanmaları
Üçüncü taraf BS uygulamalarının ve çözümlerinin değerlendirilmesi, seçilmesi, uyarlanması ve uygulanması
SipariĢ edilen BS uygulamalarının ve çözümlerinin tasarlanması, geliĢtirilmesi ve uygulanması
Farklı BS iĢlevleriyle ilgili en iyi uygulamaları, politikaları ve usulleri oluĢturma
Güvenlik ve kontrol uygulamaları tasarlaması, geliĢtirmesi ve uygulaması
BS projeleri yönetimi
Denetim dıĢı rolü genellikle, tam zamanlı ya da yarı zamanlı olarak BS faaliyetleri ve BS proje takımı çalıĢmalarına ve/veya
danıĢma/müĢavirlik kapasitesinin yerine getirilmesini gerektirir. BS denetim ve güvence uzmanları, denetim dıĢı rolleri aĢağıdaki
örneklere katılarak gerçekleĢtirebilirler:
 Geçici olarak tam zamanlı görevlendirilmeleri veya BS proje takımına BS Denetim personelinin verilmesi
 Proje yönlendirme grubu, proje çalıĢma grubu, değerlendirme takımı, müzakere ve sözleĢme takımı, uygulama takımı, kalite güvence
takımı ve sorun giderme takımı gibi BS Denetim personelinin kısmi zamanlı olarak farklı proje yapılarının üyeleri olarak
görevlendirilmeleri
 Geçici özel amaçlı olarak bağımsız danıĢman veya inceleyici gibi faaliyet göstermek
Bu tür denetim dıĢı rollerle BT Denetim ve Güvence Uzmanının kurumun diğer üyelerini eğitimine katkıda bulunur. BT
Denetim ve Güvence Uzmanı, kurumun BT yatırımlarının etkinlik ve etkililiğine eĢsiz ve değerli katkılar sağlamak için uzmanlık ve
kurum personelini eğitme bilgilerini kullanırlar. Aynı zamanda, BS Denetim ve güvence iĢlevinin daha iyi gerçekleĢtirilmesine ve BT
Denetim ve Güvence uzmanı personelinin uygulama deneyimi edinmelerine fırsat yaratırlar.
1.3.4.
BT Denetim ve Güvence Uzmanının, bir BS faaliyetinde denetim dıĢı bir rolde bulunduğu durumda ve bu faaliyetle
ilgili bir denetimin sonradan/aynı anda yapılmasında, bu denetimden doğan önerileri ve sonuçları alıcılarca tarafsız olarak
algılanamayabilir. Bu durumda, bu algılamanın sebebi, denetim dıĢı faaliyetten dolayı BT Denetim ve Güvence Uzmanının bağımsızlık
ve tarafsızlığının zarar görmüĢ olmasıdır.
1.3.5.
BT Denetim ve Güvence Uzmanı, denetim dıĢı bir rolde yer aldığında, rolünün görünüĢte ve gerçekte bağımsızlığına zarar verip
vermediğini değerlendirmelidir. BT Denetim ve Güvence Uzmanı, bir kontrolün yeterli olması için BT karar vericisinin neyi dikkate
alması gerektiği konusunda önerilerde bulunmalı ve farkındalığı artırılmalıdır. BT Denetim ve Güvence Uzmanı, bir denetim dıĢı rolü
gerçekleĢtirirken kontrollerin etkili tasarlanıp tasarlanmadığına göre sözleĢmeyi imzalamamalıdır.
78
G17 BT Denetim ve Güvence Uzmanının Bağımsızlığı Üzerinde Denetim DıĢı Rollerin Etkisi(Devam)
1.3.6. Bu rehberin amacı, BT Denetim ve Güvence Uzmanının aĢağıdakileri yapabilmesine olanak sağlamak için bir çerçeve oluĢturmaktır:




Gereken bağımsızlık zarar görmüĢse veya böyle görünüyorsa bunun saptamak
Gereken bağımsızlık zarar görmüĢse veya böyle görünüyorsa denetim sürecinin gerçekleĢtirilmesinde diğer seçenekleri ele almak
Denetim dıĢı rol, iĢlevler ve hizmetler konusunda BT Denetim ve Güvence Uzmanlarının etkisini azaltmak veya yok etmek.
Açıklama gereksinimlerini belirlemek
2
DENETĠM YÖNETMELĠĞĠ
2.1
BT Denetim ve Güvence Uzmanının Denetim-dıĢı Faaliyetlerinin ġartları
2.1.1 BT Denetim yönetmeliği, BT Denetim ve Güvence Uzmanının denetim-dıĢı rollerle ilgisini ve bunlarda yer almasının kurallarını, sınırını,
zamanlamasını ve doğasını ortaya koymalıdır ki BS denetim ve güvence uzmanının denetleme olasılığı olan sistemle ilgili olarak
bağımsızlığın zarar görmemesi sağlansın. Böylece, her bir durum için özel kural koyma ihtiyacı ortadan kaldıracaktır.
2.1.2 BT Denetim ve Güvence Uzmanı, özel denetim-dıĢı rollerin iĢ sözleĢmesinin denetim yönetmeliğiyle uyum içerisinde olduğuna dair makul
güvence sağlamalıdır. Sapmaların olduğu durumlarda, aynı Ģey iĢ tanımında (TOR) belirtilmelidir.
2.1.3 Denetim dıĢı roller denetim yönetmeliğinde açıkça belirtilmemiĢ ya da denetim yönetmeliği yok ise, BT Denetim ve Güvence Uzmanı, eğer
var ise denetim dıĢı rolde yer aldığı gerçeğini denetim komitesine ya da yönetime raporlamalıdır. BS projelerine BT
denetim ve
güvence uzmanlarının katılımının zamanı ve kapsamı, birim baĢkanı ve denetim komitesince imzalanma ve onaylamaya tabi olmalıdır.
3.
DENETĠM DIġI HĠZMETLERĠN TÜRLERĠ
3.1.
Bağımsızlığa Zarar Vermeyen Katılımlar
3.1.1. BT denetim ve güvence uzmanlarının bağımsızlığını, teknik bilgileri ve uzmanlıkları çerçevesinde katıldıkları komisyonlar, komiteler,
çalıĢma takımları veya paneller zedelemez. Ancak, denetim ve güvence uzmanlarının bağımsızlığı, BT denetim ve güvence
uzmanlarının yönetim kararlarını vermesiyle veya yönetim iĢlevlerini gerçekleĢtirmesiyle sonuçlanıyorsa bağımsızlık zarar görmüĢ
olabilir.
Uygulamayla ilgili olarak ek karĢı önlemler arasında sistem tasarımı, sistem kurulumu ve sistem güvenliği konusunda bilgi teknolojileriyle
sınırlanmıĢ tavsiye hizmetleri içerilirse, denetim dıĢı katılım, bağımsızlığa zarar vermez. Önlemlere ilave olarak, kurumun yönetim kurulu
ve yöneticileri, yeni sistemin tasarımının yeterli olup olmadığı, mevcut sistemdeki önemli değiĢikliklerin yeterli olup olmadığı ve yeni
sistemin düzenlemeler ve diğer ihtiyaçlara uygun olup olmadığı konusunda yeni sistemi kullanıp kullanmamaya karar vermenin birincil
temeli olarak BT denetim ve güvence uzmanına güvenmelidir.
3.1.2.
Bağımsızlığa Zarar Veren Katılımlar
3.2.
3.2.1.
Denetim dıĢı rol, BT denetim ve güvence uzmanının bilgi sistemlerinin tasarım, geliĢtirme, test, kurulum, konfigürasyon ya da
iĢletim süreci ile önemli ve kayda değer bilgi sistemlerinin kontrollerinin tasarımına önemli katılımı kapsıyor ise bağımsızlık ve
tarafsızlık zarar görür.
3.2.2.
Denetim dıĢı rollerin BT denetim ve güvence uzmanının bağımsız ya da ortaklaĢa yönetime hem karar aldırdığı ve/veya hem de
politikaları ya da standartları onayladığı bir durumu içeriyorsa bağımsızlık zarar görür.
3.2.3.
BT denetim ve güvence uzmanının bağımsızlılığı, BT denetim ve güvence uzmanınca denetim dıĢı bir rol gerçekleĢtirilirken bilgi
sisteminin değerlendirilmesi, seçilen uygulamaların/sistemlerin kontrollerinin testini kapsadığında zarar görebilir.
3.2.4.
BT denetim ve güvence uzmanının bağımsızlığı, eğer tavsiyelerin kapsamı ve özellikleri BT denetim ve güvence uzmanının yönetime
karar aldırması ya da yönetim iĢlevlerini gerçekleĢtirmesiyle sonuçlanıyor ise zarar görebilir.
4.
BAĞIMSIZLIK
4.1.
Bağımsızlığın Denetim-dıĢı Rollerle ĠliĢkisi
4.1.1. BT Denetim ve Güvence Uzmanı, dıĢsal standartlar yasaklamadıkça denetim ile ilgili bütün konularda bağımsız olmalıdır, BS
faaliyetinde denetim dıĢı bir rolde yer almasının gerektiği yerde BT Denetim ve Güvence Uzmanının bağımsız olmasına veya öyle
görünmesine gerek yoktur.
4.1.2. Denetim dıĢı rollerdeyken BT Denetim ve Güvence Uzmanının bağımsız olmasına gerek olmamasına karĢın, tarafsızlık yine de mesleki bir
zorunluluktur. BT Denetim ve Güvence Uzmanı, denetim dıĢı rolleri tarafsız ve profesyonel bir biçimde yerine getirmelidir.
4.1.3. BT Denetim ve Güvence Uzmanı, BT Denetim ve Güvence Uzmanın, denetim dıĢı rollerde bağımsız olmasına gerek olmasa dahi, bu
rolün BS faaliyetini ve ilgili iĢlevi denetimi halinde, bağımsızlığının zedelenme ihtimalini düĢünmelidir. Bu tür bir çatıĢma sezildiğinde
(Örneğin BT Denetim ve Güvence Uzmanın, denetimi yapacak becerilere sahip baĢka biri olmadığı durumlarda, hem denetim-dıĢı bir
rolü hem de denetimin kendisini yapmasını gerektiği durumlarda) BT Denetim ve Güvence Uzmanı, denetim dıĢı role baĢlamadan önce
bu sorunu denetim komitesi veya eĢdeğer yönetiĢim birimi ile konuĢmalıdır.
79
G17 BT Denetim ve Güvence Uzmanının Bağımsızlığı Üzerinde Denetim DıĢı Rollerin Etkisi(Devam)
4.1.4.
Bir BS faaliyetinde denetim dıĢı rol ve bağımsız denetim veya ilgili iĢlev arasındaki alıĢ veriĢ, denetim komitesinin veya eĢdeğer
yönetim biriminin kararı olmalıdır. Risk değerlendirmesi gerçekleĢtirilmelidir. Kararı etkilemesi muhtemel konular arasında aĢağıdakiler
yer alır:








Her iki rol için de potansiyel kaynak seçenekleri
ÇatıĢmalı faaliyetlerin eklediği görece değer algılaması
Ġlerdeki faaliyetlere faydalı olacak biçimde BS takımının eğitilmesi olasılığı
BT Denetim ve Güvence Uzmanı için kariyer fırsatları ve daha sonra gelecek olanı planlama
Denetim dıĢı role iliĢkin risk seviyesi
BT Denetim iĢlevinin görünürlük, profil, imaj vb üzerindeki etkisi
Eğer varsa, dıĢ denetleyici veya düzenleyici gereksinimi kararının etkisi
BT Denetim yönetmeliği hükümleri
4.2.
Denetim-dıĢı Rollerin Sonraki Denetimlere Etkisi
4.2.1.
BT Denetim ve Güvence Uzmanı, bir BS faaliyeti veya birimi yasalara veya yönetim isteğine göre denetleniyorsa BS takımından ve
yönetiminden bağımsız görünmeli ve olmalıdır.
4.2.2.
BT Denetim ve Güvence Uzmanı kendi iĢini ya da denetim dıĢı olarak katıldığı önemli ya da bağlayıcı bir iĢ denetim konusu olacaksa
denetimde yer almamalıdır. BT Denetim ve Güvence Uzmanlarının bir BT giriĢimindeki denetim dıĢı katılımları, BT giriĢiminin ya da
ilgili birimin denetiminde bağımsızlıklarına zarar verebilir. BT denetim ve güvence uzmanları, kendi fikrince denetimi yaparken
bağımsızlıklarının denetim dıĢı rol nedeniyle zarar görüp görmediğini belirtmelidir. Denetim komitesi veya eĢdeğer yönetim birimi, bu
fikre katıldıklarını yazılı olarak bildirmelidir.
4.2.3.
BT Denetim ve Güvence Uzmanının denetim dıĢı rolü yüzünden, BT Denetim ve Güvence Uzmanının bağımsızlığının zarar
görüp görmediğini belirlemek için önemli faktörlerden bazıları aĢağıdadır:








Bir BS faaliyetinde, denetim-dıĢı rolünün doğası, zamanlaması ve sınırı; BT faaliyeti ve/veya iliĢkili iĢlevin denetlenmesi
düĢünüldüğü zaman. Denetim dıĢı rolle ilgili karar gücü ne kadar yüksekse, bağımsızlık o kadar zayıflar.
Bağımsızlığa zarar verecek gibi algılanan gerçeklerin varlığı. Burada söz konusu olan maddi kazanım ya da denetim dıĢı rolle
ilgili yaptırım gibi etmenlerdir.
BT Denetim ve Güvence Uzmanının, zafiyetleri rapor ederken denetim dıĢı rolüne karĢın önyargısız ve tarafsız durma
taahhüdünde durma becerisi
Denetim dıĢı rollerde yer almasına karĢın BT Denetim ve Güvence Uzmanlarının denetimin kapsam ve yürütülmesini saptama
özgürlüğü
BT Denetim ve Güvence Uzmanının denetim dıĢı rolünü, bo rol çerçevesindeki katılım düzeyini ve bununla ilgili somut olguları
açıklaması
Denetim dıĢı roller yürütülürken özellikle yönetim pozisyonunda olanlarla göz ardı edilemeyecek düzeyde kurulan (olumlu ya da
olumsuz) iliĢkiler
Denetim ve Güvence Uzmanının karar verme gücünün olup olmadığına bakılmaksızın, denetim dıĢı rolünde BT denetim ve
güvence uzmanının etkisi ve/veya ikna gücü
Denetime konu olacak ve aynı kiĢi tarafından daha önce denetim dıĢı rol kapsamında konu edilmiĢ olan bilgi kaynaklarının
önemi (risk değerlendirme önceliği)
5.
PLANLAMA
5.1.
Bağımsızlığa Etkisi
5.1.1.
Denetim dıĢı rolleri planlanırken, denetim dıĢı rolün benzer ya da aynı BS faaliyetinin veya ilgili iĢlevin mevcut/gelecekteki denetiminin
bağımsızlığına muhtemel etkisi, değerlendirilmelidir.
5.1.2.
Herhangi bir BT iĢlevinde BT denetim ve güvence uzmanlarının önceki ya da sürmekte olan denetim dıĢı rollerinin bağımsızlığa olası
etkileri, bu tür BS iĢlev ya da ilgili birimlerinin denetiminin planlanması sırasında değerlendirilmelidir.
5.1.3.
Denetim komitesi ya da eĢiti yönetiĢim organı, bağımsızlığın zarar görmesi olasılığı ya da zarar görmüĢ gibi görünme olasılığı
hakkında bilgilendirilmiĢ olmalıdır.
5.1.4.
Denetim ve Güvence Uzmanı, bağımsızlığın ve tarafsızlığın makul güvencesini sağlamak için denetim yönetimi/komitesince
gerçekleĢtirilebilecek önleyici kontroller ve faaliyetler tavsiye etmelidir. Bunlar aĢağıdakileri kapsayabilir:



5.1.5.
Denetlenen alanda denetim dıĢı rol almamıĢ olan BT denetim ve güvence biriminden kiĢileri yönetim ve/veya ilgili göreve
atayarak denetim dıĢı role katılmamıĢ BT denetim ve güvence uzmanını ikame etmek
Denetim dıĢı rolde yer almıĢ/alan BT denetim ve güvence uzmanını ikame etmek için yönetim ya da ilgili personel açığını BT
denetim ve güvence birimi dıĢında diğer bir birimden, bölümden ve/veya dıĢarıdan ödünç almak
BT denetim ve güvence biriminde veya yukarıda bahsedilen kaynaklardan birisinin kullanımıyla, planlamada, alan çalıĢmasında
ve raporlamada, bağımsız bir hakem gibi davranması için, bağımsız bir kaynağın görevlendirilmesi
BT denetim ve güvence uzmanlarının denetim dıĢı rol katılımlarının çok yüksek olduğu durumlarda, BT denetim ve güvence uzmanı
ne denetim komitesine tavsiyelerde bulunmalı ne de bu katılımı gerçekleĢtirdiği denetim dıĢı alanın gözden geçirmesine doğrudan
katılmalıdır.
80
G17 BT Denetim ve Güvence Uzmanının Bağımsızlığı Üzerinde Denetim DıĢı Rollerin Etkisi(Devam)
6.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
6.1.
Denetimin ĠĢinin Ġzlenmesi
6.1.1.
BT Denetim ve güvence yönetimi, denetim dıĢı bir rol yüzünden bağımsızlığın zarar görme olasılığının olduğu denetim durumlarında,
denetimi yakında izlemelidir. BT denetim ve güvence yönetimi, denetim dıĢı rolden kaynaklanan bağımsızlığa gölge düĢüren her türlü
somut belirtiyi ciddi bir biçimde değerlendirilmeli ve gerekli düzeltici adımlar atılmalıdır. Bu tür durumlarda denetim komitesi veya
eĢdeğer yönetiĢim birimi bilgilendirilmelidir.
6.1.2.
Denetim komitesi ya da eĢit yönetim organı, denetim dıĢı rolün BT denetim ve güvence uzmanı tarafından gerçekleĢtirilen denetimi
önemli ve kayda değer Ģekilde etkilendiğini varsayıyor ise planlanmıĢ denetimleri, denetim için gerekli yasalar, düzenlemeler, ilkeler,
sözleĢmeler ve diğer anlaĢmaları kapsayan ihtiyaçları ve yükümlülükleri; denetim dıĢı bir role katılımın gerektirdiği BT denetim ve
güvence sorumluluklarını konusunda oluĢturulacak politikalar ve kararları sürekli olarak değerlendirmelidir.
6.1.3.
YönetiĢim organları, denetim dıĢı rollerle ilgili kaynakları da tahsis edebilmeli böylece olası çatıĢmaları baĢtan bilir durumda olabilmeli,
bu tür çatıĢmaların en aza indirilmesi ve yeterli Ģekilde yönetilmesi için denetim yönetiminden makul güvence sağlamalıdır.
7
RAPORLAMA
7.1.
Açıklama Zorunluluğu
7.1.1.
BT Denetim ve Güvence Uzmanı, BT Denetim ve Güvence yönetiminin ve/veya personelinin bağımsızlığının BS faaliyetinde denetim
dıĢı bir rol tarafından BS faaliyetinin veya ilgili iĢlevin denetimini zedelemiĢ veya zedelemekte olabileceğini düĢündüğü durumlarda,
denetim raporunda bağımsızlığın makul güvencesini sağlayan önleyici faaliyetler ile denetim dıĢı rol hakkında yeterli bilgiyi
sağlamalıdır. Bu, denetim raporunun kullanıcılarının zarar görmenin muhtemel boyutlarını anlamalarını, eğer varsa etkilerinin
azaltılması için alınan önlemleri anlamalarını sağlar. Bu konu ile ilgili BT Denetim ve Güvence Uzmanlarının açıklaması gereken
bilgiler aĢağıdakileri içerir:






BT Denetim ve Güvence yönetiminin ve personelinin denetim-dıĢı role katılanlarının adları ve kıdemleri
BS faaliyetinde denetim dıĢı role katılımlarının doğası, zamanlaması ve sınırı
BS faaliyetinde, denetim dıĢı rol ile BS faaliyeti veya ilgili iĢlevin denetime katılımın sebepleri
Denetim görevi ve raporlama süreci boyunca bağımsızlığın ve tarafsızlığın önemli ölçüde zarar görmediğine dair güvence
sağlamak için alınan önlemler
Bağımsızlık muhtemel hasarının, denetim komitesine veya eĢiti bir yönetiĢim birimine bildirildiği gerçeği ve denetim dıĢı rolü
üstlenmeden önce fikir birliğinin sağlandığı bilgisi
GerçekleĢtirilen iĢ konusunda kabul edilebilir bir güvenilirlik seviyesi sağlamak için bir gözden geçirmenin varlığı ve kapsamı
8
YÜRÜRLÜK TARĠHĠ
8.1
Bu rehber, bütün BT Denetimlerinde 1 Haziran 2002 tarihinden itibaren geçerlidir. Bu rehber, gözden geçirilmiĢ ve güncellenmiĢtir, 15
Haziran 2009‘da yürürlüktedir.
81
G18 BT YönetiĢimi
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve
yorumuyla desteklenmelidir.‖ Ģeklindedir.
1.2
1.2.1
Rehber Gereksinimi
COBIT Yönetici Özeti ―Kurumlar, bilgileri ve değerleri için kalite, saygınlık ve güvenlikle ilgili gereksinimleri
karĢılamak durumundadırlar. Yönetim, veri, uygulama sistemleri, teknoloji, olanaklar ve insanlar dahil, var olan
kaynakların kullanımını en iyileĢtirmek etmek durumundadır. Bu sorumlulukları yerine getirmek ve hedeflere
ulaĢmak için yönetim yeterli iç kontrol sistemleri oluĢturmalıdır‖. Ģeklinde ifade eder.
Bütün yönleriyle ekonomik ve sosyal çabalarında teknolojilerine kullanımı, bilgi teknolojilerine gerçekleĢtirme, kaydetme,
taĢıma, ekonomik iĢlemleri, bilgi ve bilginin bütün açılardan yönetimi, kurumsal yönetiĢiminde BT yönetiĢiminin uygun bir
yerde oluĢturulmada bilgi teknolojilerine kritik bir bağımlılık oluĢturmuĢtur. .
Çok sayıda kamu ve özel sektör kurumunca tecrübe edilen yüksek önemdeki sorunlar (örneğin virüs saldırısından
kaynaklanan sistem hataları, web site çökmesinden dolayı güven veya sistem ulaĢılabilirliğinin kaybı gibi), kurumsal
yönetiĢim konularına dikkatleri çekmiĢlerdir. Yönetimin iç kontrol için etkili bir sistem oluĢturma sorumluluğunu yerine
getirmesinde resmi bir yöntem kamusal bir incelemeye tabi olabilir ve sıklıkla hem iç hem dıĢ BS Denetçilerinin denetim
kapsamının bir bölümünü oluĢturur.
Bu rehberin amacı, bir BS Denetçisinin, ilgili BT yönetiĢimi denetimi, BS Denetçisinin kurumsal konumunun kapsamı,
denetimi planlarken göz önünde bulundurması gereken konular, ve denetimi uygularken incelenecek kanıtlara nasıl
yaklaĢması gerektiği konusunda bilgi sağlamaktır.. Bu rehber ayrıca raporlama hatlarına, içeriğine ve denetim sonrası
izleme konusunda da rehberlik eder.
1.2.2
1.2.3
1.2.4
2.
DENETĠM YÖNETMELĠĞĠ
2.1
2.1.1
Yaptırım
Kurumsal yönetiĢimindeki alanlardan biri olan BT yönetiĢimi, BT‘nin kurum içerisinde nasıl uygulandığını anlatan konuların
bütününü oluĢturur. BT artık, ayrı bir kavram olmaktan ziyade kurumun özünde var olan yaygın bir kavramdır. BT‘nin nasıl
uygulandığı konusu, kurumun amacına, vizyonuna veya stratejik hedeflerine ulaĢıp ulaĢamayacağını belirlemede büyük
etkisi olan bir konudur. Bundan dolayı,bütün kurumsal yönetiĢimin önem artan bir parçası olarak, kurum, BT yönetiĢiminin
değerlendirilmesine ihtiyaç duyar.BT yönetiĢimi konusunda raporlama, kurum içerisinde en üst seviyede denetim yapmayı
gerektirir ve bölümler, iĢlevler veya birimlerin sınırlarını aĢar. BS Denetçisi, iĢ sözleĢmesinin Ģartlarının aĢağıdaki maddeleri
kapsadığından emin olmalıdır:



Kapsanacak konuların ve iĢlevsel alanların açık bir tarifi dahil olmak üzere iĢin kapsamı
BT yönetimi konularının kurumun en üst seviyesine raporlanması
BS Denetçisinin bilgiye eriĢim hakkı
3.
BAĞIMSIZLIK
3.1
3.1.1
Kurumsal Durum
BS Denetçisi, kendi kurumsal durumunun planlanan denetim için uygun olup olmadığını düĢünmelidir. Eğer uygun değilse,
yönetim tarafından bağımsız üçüncü tarafların görevlendirilmesi düĢünülmelidir.
4.
PLANLAMA
4.1
4.1.1
Gerçeği Bulma
BS Denetçisi, BT yönetim yapısı ile ilgili bilgi edinmelidir. Buna aĢağıdaki konulardan sorumlu seviyeler dahil olmalıdır:




Kurumun yönetimi

Kurumsal için ortaya konulan stratejik hedeflerin karĢılanması için gereken BT altyapısının ve becerilerin geliĢtirilip
geliĢtirilmediğinin belirlenmesi
Kurumsal stratejik yönlerinin ortaya konulması
Genel müdür veya yönetimin kurumun stratejilerinin uygulanmasındaki performansının değerlendirilmesi
ĠĢlemlerdeki stratejiler konusunda rapor veren üst yönetim veya alt kademelerinin performansının değerlendirilmesi
(kullanılan bilgi, bilgi ve teknoloji dahil)

4.1.2
Kurumun mevcut iĢlemlerini devam ettirebilme kapasitesinin değerlendirilmesi
BS Denetçisi, BT yönetiĢim yapısının 4.1.1‘de belirtilen iĢlevleri gerçekleĢtirmek için gereken (düĢük seviyelere (üstten
aĢağı) amaçların ve hedeflerin iletilmesi için kullanılan kanallar ve uyumluluğunu izlemek için kullanılan bilgiler dahil
(aĢağıdan yukarı) sürecin genel olarak anlaĢılmasını sağlamalıdır.
82
G18 BT Yönetimi(Devamı)
4.1.3
4.2
4.2.1
4.2.2
4.3
4.3.1
4.3.2
BS Denetçisi, kurumun bilgi sistemleri stratejisi hakkında aĢağıdaki konularda bilgi sahibi olmalıdır (belgelendirilmiĢ veya
belgelendirilmemiĢ olarak):






Kurumun görev ve amaçlarını gerçekleĢtirmek için uzun ve kısa vadeli planlar



YönetiĢim sistemi ve/veya verimliliği üzerinde raporlanması
Bu planları desteklemek üzere BT ve sistemleri için uzun ve kısa vadeli strateji ve planlar
Bu planlara karĢı, BT stratejisinin oluĢturulması, planların geliĢtirilmesini ve geliĢimin izlenmesinde bir yaklaĢım
BT stratejisi ve planlarının değiĢiklik kontrolüne yaklaĢım
BT misyon ifadesi ve BT faaliyetleri için üzerinde anlaĢılmıĢ hedef ve amaçlar
Var olan BT faaliyetleri ve sistemlerinin değerlendirilmesi
BS Denetim Hedefleri
Bir BT yönetiĢimi denetim hedefleri, beklenen ihtiyaçları ve beklenen dağıtım seviyesinden etkilenebilir. BS Denetçisi,
denetimin hedeflerini oluĢtururken aĢağıdaki seçenekleri düĢünmelidir:
Finansal bilgi sistemlerinin kapsanması ya da kapsanmaması
Finansal olmayan bilgi sistemlerinin kapsanması ya da kapsanmaması
Bir BT yönetiĢiminin denetiminin ayrıntılı hedefleri, genellikle üst yönetim tarafından uygulanan iç kontrol çerçevesine dayalı
olacaktır. Hazır bir çerçevenin olmaması durumunda, COBIT çerçevesi asgari dayanak olarak kullanılmalıdır.
Denetimin Kapsamı
BS Denetçisi, BT etkinliğini planlamak ve örgütlemek için ilgili süreci ve bu faaliyetleri izlemek için gereken sürecin
faaliyetlerini denetim kapsamına dahil etmelidir..
Denetimin kapsamı, COBIT çerçevesinde belirtilen BT kaynaklarının hepsinin korunması ve kullanılması için kontrol
sistemlerini içermelidir. Bunlara aĢağıdaki konular dahildir:





Veriler
Uygulama sistemleri
Teknoloji
Tesisler
Ġnsanlar
4.4
4.4.1
Personel Yönetimi
BS Denetçisi, bu incelemeyi gerçekleĢtirecek personellerin uygun seviyede ve nitelikte olmalarını makul güvence
sağlamalıdır.
5.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
5.1
5.1.1
Üst Seviye Yönetim Faaliyetlerinin Ġncelenmesi
BT yönetiĢimi, kurumsal yönetiĢimin bir parçası olarak, yapılan iĢin hedef ve amaçları tarafından yönlendirilmelidir. BS
Denetçisi, aĢağıdaki noktaların var olup olmadığını inceleyerek stratejik iĢ planlama sürecini değerlendirmelidir:
5.1.2
5.1.3
5.1.4




ĠĢin vizyon ve misyonunun açık bir tanımı






BT vizyon ve misyonunun açık bir tanımı





Kullanılan proje yönetim yöntemlerinin kapsamı



Yerinde iĢletim kontrolleri (Uygulama geliĢimi ile ilgili COBIT amaçları)
Kullanılan bir stratejik iĢ planlama yöntemi
Bu süreciye katılan bireylerin seviyelerinin uygunluğu
Bu planlamanın düzenli olarak güncellenmesi
BS Denetçisi, BT stratejik planlama sürecini incelerken aĢağıdakilerin olup olmadığını düĢünmelidir:
Stratejik bir bilgi teknolojisi planlama yönteminin var olduğunu
Bu yöntem iĢin amaçlarını ve hedeflerini BT iĢ amaç ve hedefleriyle örtüĢtürdüğü
Planlamanın baĢlıca BT faaliyetlerinin ve gerekli kaynakları tanımlaması
Bu planlama sürecinin düzenli olarak güncellenmesi (yılda en az bir kez)
Bu süreciye katılan bireylerin seviyelerinin uygunluğu
BS Denetçisi, BT taktik planlamasını incelerken aĢağıdaki maddeleri düĢünerek proje yönetim uygulamalarını göz önünde
bulundurmalıdır:
Uygulanan proje yönetim kontrolleri
Kullanılan proje yönetim araçları
Projenin değiĢik aĢamaları boyunca BT ve iĢ personelinin bütünleĢikliği
Kurumdaki önemli değiĢiklikleri içeren büyük projeler için kullanılan değiĢim yöntemleri
BS Denetçisi sunum sürecini incelerken aĢağıdaki maddeleri göz önüne almalıdır:
GeliĢim veya değiĢim süreci
Proje yönetim süreci (5.1.3‘te anlatıldığı üzere)
83
G18 BT YönetiĢimi(Devamı)
5.1.5
GeliĢim süreci boyunca, uygulama geliĢtirme yöntemleri ve uygulamalarına uygulanan kontrollere odaklanma. BS Denetçisi, aĢağıdaki
maddeleri incelemesine dahil edebilir:



5.1.6








6.
6.1
6.1.1
6.1.2
6.2
6.2.1
Stratejik iĢ planlama süreci tarafından belirlenen stratejik alanları sağlayan politikaların kapsamı
Politika uyumunu izlemek, zorunlu kılmak, iletiĢimi sağlamak ve değerlendirmek için üst seviye yönetim tarafından izlenen süreçler,
Ġzleyen konular üzerinde belgelendirilmiĢ politikalar: güvenlik, insan kaynakları, veri sahipliği, son kullanıcı hesaplaması, fikri mülkiyet, veri
koruma/tutma, sistem edinimi ve uygulaması, dıĢ kaynaktan temin, bağımsız güvence, süreklilik planlama, sigorta ve kiĢisel bilginin gizliliği
Ġnceleme altındaki süreçlere katılan kiĢilerin rol ve sorumluluklarının belirlenmesi (örneğin veri sahipleri, BT yönetimi, yürütme) ve
incelemedeki süreci konusunda uygun olup olmadıklarının değerlendirilmesi
Ġncelemedeki sürecine katılan kiĢilerin rollerini gerçekleĢtirmek için gerekli becerilere, deneyime ve kaynaklara sahip olma yeterlilikleri
Ġç denetime uygun seviyede katılımının sağlanmıĢ olması (eğer kurum iç denetim kaynaklarına sahipse)
BT uzmanı veya iĢlevlerinin, kurum içerisindeki konumlarının kurumun hedeflerine ulaĢmak için BT‘den en yüksek kazancı yapmaya
uygun olup olmadığının değerlendirilmesi
Kurum ve BT uzmanlarının yönetiminin ve uzman olmayan fakat BT sorumluluğuna sahip kiĢilerin kurumun hata, kusur, aykırılık ve
yasadıĢı hareketler risklerini karĢılama konusunda yeterli olup olmadıklarının değerlendirilmesi.
BS Denetçisi, yukarıdaki incelemelerden elde edilen denetim kanıtının uygun alanları kapsayıp kapsamadığını göz önünde bulundurmalıdır.
Göz önünde bulundurulması gereken konular, COBIT tarafından BT YönetiĢimi Yönetici Rehberinde ortaya konulmuĢtur. Bu rehber, BT
yönetiĢimi hedeflerine götüren ana hedef göstergelerini, kritik baĢarı etmenlerini ve anahtar performans göstergelerini içerir. Göz önünde
bulundurulması gereken bilgiler Ģunlardır:






5.1.8
Proje boyutu ve ilerlemesini öngörmek için kullanılan geliĢim ölçütleri
Test konularını kontrol eden teknikler, bunlardan öğrenmek ve gelecek projeler için yöntemi ve kontrolleri güçlendirmek
BS Denetçisi, mevcut sistem portföyünü yönetmek için kullanılan süreci incelerken, kurumsal stratejiyi ve halihazırdaki sistemler tarafından
destek alanlarının kapsamını göz önünde bulundurmak durumundadır. BS Denetçisi bu incelemesinde aĢağıdaki maddeleri dahil etmelidir:



5.1.7
Uygulama geliĢtirme yöntemi (kalitesini düĢünerek, örneğin yüksek seviyede yapılandırılmıĢ ve sistem geliĢiminin yaĢam döngüsünün
bütün yönlerini kapsıyorsa ve dıĢtan destekleme veya dağıtılmıĢ sistemler gibi çevrenin özelliklerini göz önüne alıyorsa)
Bir BT misyonu ifadesi ve BT faaliyetleri için üzerinde anlaĢılmıĢ hedef ve amaçların varlığı
Kurumun BT kaynaklarının kullanımıyla ilgili risklerin değerlendirilmesi ve bu risklerin yönetimiyle ilgili yaklaĢımlar
Planlara karĢı geliĢmeyi izlemek ve stratejiyi uygulamak için BT strateji planları
BT bütçeleri ve çeĢitlilikleri ve çeĢitliliklerin izlenmesi
BT kullanımı için yüksek seviye politikalar ve bu politikalarla uyumun izlenmesi ve korunması
BT için ilgili performans göstergelerinin karĢılaĢtırılması, benzer kurumlar, iĢlevler, uygun uluslararası standartlar, olgunluk modelleri veya
bilinen en iyi uygulamalar arasında karĢılaĢtırmalar gibi.
Üzerinde anlaĢılmıĢ performans göstergelerine karĢı performansın düzenli izlenmesi
Etkinlik unsurlarının olarak yönetiĢimi iĢlevince tanımlanmıĢ, belirlenmiĢ, çözümlenmiĢ ve izlenmiĢ faaliyetler BT‘nin periyodik
incelenmesinin kanıtları
Yukarıda 5.1.1.‘den 5.1.5‘e kadar tanımlanmıĢ olan süreçler arasında verimli ve anlamlı bağlantıların kanıtı
BS Denetçisi, üst seviye yönetimin BT ile ilgili olarak uygun yönetim faaliyetlerini baĢlatıp baĢlatmadığı ve bu faaliyetlerin uygun biçimde izlenip
izlenmediği konusunu göz önüne almalıdır.
RAPORLAMA
Hedef Kitle
BS Denetçisi, BT yönetiĢimi ile ilgili raporları denetim komitesine ve üst düzey yönetime vermelidir.
BT yönetiĢiminde, yetersizliklerin olması durumunda bunlar derhal denetim yönetmeliğinde belirtilen uygun kiĢilere veya gruba rapor
edilmelidir.
Ġçerik
Raporla ilgili diğer ISACA standartlarıyla uyum içerisinde olmanın yanı sıra, BT yönetiĢimiyle konusundaki denetim raporu aĢağıdaki maddeleri
içermelidir:








Üst seviye yönetimin kurumun iç kontrolünden sorumlu olduğuna dair bir ifade
Ġç kontrol sisteminin somut yanlıĢ ifadelere veya kayıplara karĢı sadece makul fakat kesin olmayan güvence sağlayabileceğine dair bir
ifade
Gerçeğe aykırı bilgiler ve kayıplar
Üst seviye yönetimin kurduğu ve verimli bir BT yönetiĢim sistemi ve ilgili destekleyici belgelendirme sağlamayı hedefleyen anahtar
usullerin bir tanımı
Kurumun politikalarıyla veya ilgili yasa ve düzenlemelerle veya kurumsal yönetiĢim için endüstri uygulama yönetmeliklerine iliĢkin her türlü
uyumsuzluklarla ilgili bilgiler
Her türlü önemli ve kontrol edilmemiĢ risklere dair bilgiler
BS Denetçisinin geliĢtirme önerileriyle birlikte.her türlü verimsiz veya yetersiz kontrol yapılarıyla veya usullerle ilgili bilgiler,
BS Denetçisinin, BT yönetiĢimiyle ilgili sonuçları (ilgili sözleĢme Ģartlarında tanımlandığı Ģekilde)
7.
7.1
7.1.1
DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ
Zamanındalık
Kurumsal yönetiĢim sistemindeki her hangi bir zafiyetin etkileri normalde geniĢ alana yayılmıĢ ve yüksek risklidir. BS Denetçisi, bu yüzden
uygun olan yerlerde, yönetimin zafiyete karĢı önlemler alıp almadığını, yeterli ve zamanında çalıĢmalar yaparak onaylamalıdır.
8.
8.1
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün bilgi sistemleri denetimlerinde 1 Temmuz 2002‘den itibaren geçerlidir.
84
G20 Raporlama
1.
ARKA PLAN
1.1
1.1.1.
ISACA Standartlarıyla Bağlantı
S7 Raporlama Standardı: ―BS Denetçisi, denetim tamamlanması sonucunda uygun biçimde bir rapor hazırlamalıdır.
Rapor, kurumu, hedeflenen alıcıları ve dağıtım sınırlamalarını tanımlamalıdır. Denetim raporu, yürütülen denetim
iĢinin kapsamını, hedeflerini, denetim dönemini ve zamanlamasını, doğasını ve sınırlarını ortaya koymalıdır. Rapor,
BS Denetçisinin denetimle ilgili olarak bulgularını, sonuçlarını ve önerilerini, sahip olduğu çekincelerini, niteliklerini
veya sınırlandırmalarını belirtmelidir. BS Denetçisi, raporlanan sonuçları destekleyecek uygun ve yeterli denetim
kanıtlarına sahip olmalıdır.‖ Ģeklinde ifade eder.
1.2
1.2.1
Tanımlar
Konu veya faaliyet alanı, BS Denetçisinin raporunun ve ilgili usullerin özel bilgisi konusudur. Ġç kontrollerin tasarımı ve
uygulanması konusunu, mahremiyet uygulamaları standartları, yasa veya düzenlemelerle uyum gibi Ģeyleri içerebilir.
Raporlama onay iĢlemi, BS Denetçisinin Yönetimin söylediği konuyla ilgili belli bir sorunu veya doğrudan ana sorunla ilgili bir
konuyu araĢtırdığı bir faaliyettir. BS Denetçisinin raporu aĢağıdakilerden biri ile ilgili bir görüĢten oluĢur:
1.2.2
1.2.3
1.2.4
1.2.5
1.2.6
1.2.7
1.2.8
1.2.9
1.3
1.3.1

Ana sorun. Bu raporlar bir iddiadan ziyade doğrudan ana sorunla ilgilidir. Belli durumlarda yönetim yapılan iĢle ilgili bir
iddiada bulunamayacaktır. Bu duruma bir örnek, BT hizmetleri üçüncü bir taraftan dıĢ kaynaktan sağlandığı zaman
ortaya çıkar. Yönetim, üçüncü tarafların sorumlu olduğu kontrollerle ilgili bir iddiada bulunamayacaktır. Bu yüzden bir BS
Denetçisi bir iddia yerine doğrudan ana sorunla ilgili rapor verecektir.


Yönetimin kontrol usullerinin etkinliği konusundaki iddiası
BS Denetçisinin, belli bir konuyla ilgili bir fikir beyan ettiği inceleme raporlaması görevi. Bu görevler, yönetim tarafından
yapılan kontrollerle ve bunların iĢleyiĢ etkinliği konusunda raporlarları içerebilirler.
Bu rehber, birinci tür görüĢe yönlendirilmiĢtir. Eğer iĢ sözleĢmesi, ikinci tür görüĢü gerektirirse raporlama gereksinimlerinin
uyarlanması gerekebilir.
Kontrol hedefleri, kontrollerin geliĢtirilmesi ve uygulanması için çerçeve olarak kullanılan yönetimin hedefleridir.
Kontroller ve kontrol usulleri, ilgili kontrol hedeflerini baĢarmak için uygulanan politika ve usuller demektir.
Kontrol zayıflığı, bir kontrol usulünün tasarım ve uygulanmasında bir bozukluk demektir. Kontrol zayıflıkları, muhtemel kabul
edilebilir bir seviyeye düĢürülmemiĢ bir etkinliğin alanıyla ilgili risklerle sonuçlanabilir (ilgili risklerden kasıt, kontrol edilen
alanla ilgili hedeflere ulaĢmayı tehdit eden risklerdir). Kontrol zayıflıkları, bir veya daha fazla kontrol usulünün tasarımı veya
uygulanması, riski görece düĢük bir seviyeye indirmediği zaman önemli olabilirler, bu riske yasadıĢı faaliyetler veya
aykırılıklar sebep olabilir ve ilgili kontrol usulleri tarafından tespit edilemeyebilir.
Kriterler, ana sorunu ölçmek ve sunmak için kullanılan standartlar ve kıstaslardır ve BS Denetçisi bunları ana sorunu
değerlendirmek için kullanır. Kriterler:




Nesnel olmalıdır-Yanlı görüĢlerden uzak



ĠĢleyiĢin etkililiği, verimliliği ve ekonomikliği



Kontrol çevresi
Ölçülebilir olmalıdır-Tutarlı ölçümler sağlamalıdır
Tam olmalıdır-Bir sonuca ulaĢmak için ilgili bütün etmenleri içermelidir
Ġlgili olmalıdır-Ana sorunla ilgili olmalıdır
Doğrudan raporlama görevi, yönetimin kendi kontrol usullerinin etkinliği ile ilgili yazılı iddialarda bulunmadığı ve BS
Denetçisinin doğrudan ana sorunda kontrol usullerinin etkinliği ile ilgili bir fikir açıkladığı görevdir.
Ġç kontrol yapısı (iç kontrol), yönetim kurulu, yönetim ve tüm diğer personel, tarafından etkilenmiĢ dinamik, bütünleĢik
süreçlerdir ve aĢağıdaki genel amaçlara ulaĢılmasında makul güvence sağlamaları amacıyla tasarlanmıĢlardır:
Yönetimin güvenilirliği
Ġç politikalar, yönetmelikler ve ilgili yasalara uyum
Yönetimin bu genel hedeflere ulaĢma stratejileri, aĢağıdaki bileĢenlerin tasarımı ve uygulanmaları tarafından etkilenir:
Bilgi sistemi
Kontrol usulleri
Rehber Gereksinimi
Bu rehber, BS Denetçisinin, bir kurumun bilgi sistem kontrolleri ve ilgili kontrol amaçlarıyla ilgili rapor verirken ISACA BS
Denetim Standartlarıyla ve COBIT ile nasıl uyum içinde olması gerektiğini ortaya koyar.
85
G20 Raporlama(Devamı)
2.
GĠRĠġ
2.1
2.1.1
Bu Rehberin Amacı
Bu Rehberin amacı, belli bir etkinlik alanı için kontrol usullerinin aĢağıdakiler üzerinde etkin olup olmadığı konusunda rapor
verecek olan BS Denetçilerine yol göstericilik sağlamaktır:


Bir kurumun yönetim kurulu ve/veya iĢletme seviyesinde etkin olup olmadığı
2.1.2
Belli bir üçüncü taraf, örneğin bir düzenleyici veya denetçi üzerinde etkin olup olmadığı
BS Denetçisi, tasarım etkinliği veya iĢletim etkinliği üzerinde rapor vermek için görev alabilir.
3.
GÜVENCE
3.1
3.1.1
Hizmet Türleri
Bir BS Denetçisi aĢağıdakilerden herhangi birini uygulayabilir:



3.2
3.2.1
3.2.2
3.2.3
Denetim (Doğrudan veya bildirimle)
Gözden geçirme (Doğrudan veya bildirimle)
Üzerinde fikir birliğine varılmıĢ usuller
Denetim ve Gözden Geçirme
Bir denetim, kontrol usullerinin etkinliği hakkında yüksek fakat kesin olmayan bir güvence seviyesi sağlar. Test kullanma,
yargı çıkarma gereksinimi, iç kontrollerin kalıtsal sınırlandırmaları ve BS Denetçisinin eline geçen kanıtların doğasında
sonuca ulaĢtırıcı olmaktan ziyade ikna edici olmalarından dolayı kesin güvence çok nadir ulaĢılan bir durumdur.
Bir gözden geçirme, kontrol usullerinin etkinliği hakkında ortalama bir güvence sağlayabilir. Sağlanan güvencenin seviyesi,
bir denetim sırasında sağlanan güvencenin seviyesinden daha düĢüktür, çünkü iĢin kapsamı bir denetimde olandan daha
dardır, ve kullanılan usullerin doğası, zamanlaması ve sınırları, BS Denetçisinin olumlu bir görüĢ belirtmesi için yeterli ve
uygun denetim kanıtı sağlamaz. Bir göden geçirmenin, BS Denetçisinin usuller temelinde tanımlanmıĢ kıstaslar açısından
kontrol usullerinin etkin olmadığına inanması için dikkatini çeken herhangi bir Ģeyin olup olmadığını belirtmesini sağlamak
içindir (olumsuz güvence ifadesi).
Kontrol usullerinin hem denetim hem de gözden geçirme Ģunları içerir:



Görevin planlanması

Kontrol usullerinin, tasarım ve iĢleyiĢ etkinliği aĢağıdaki tanımlanmıĢ kıstaslar temelinde raporlamada ve bir sonuç
oluĢturma konusunda bir rapor düzenlemek:
Bir denetim için sonuç, bir fikrin olumlu ifadesi olarak görülür ve yüksek seviye bir güvence sağlar.
Bir inceleme sonucu, olumsuz bir güvence ifadesi olarak görülür ve sadece ortalama seviye bir güvence sağlar.
-
Kontrol usullerinin tasarım etkinliğinin değerlendirilmesi
Kontrol usullerinin iĢlem etkinliğinin testi (test sürecinin doğası, zamanlaması ve sınırı, bir denetim ve bir inceleme
arasında olduğu gibi değiĢecektir)
3.3
3.3.1
Üzerinde GörüĢ Birliğine VarılmıĢ Usuller
Üzerinde görüĢ birliğine varılmıĢ usullerle yapılan görev BS Denetçisi tarafından bir güvence ifadesiyle sonuçlandırılmaz. BS
Denetçisi, gerçekleĢtirilecek olan usuller konusunda görüĢ birliğine varmıĢ olan tarafların bilgi gereksinimlerini karĢılamak için
özellikli usulleri uygulamakla görevlidir. BS Denetçisi, usuller üzerinde anlaĢmıĢ olan tarafların bulguları ile ilgili bir rapor
hazırlar. Alıcılar, bu rapordan kendi sonuçlarını çıkarırlar çünkü BS Denetçisi, herhangi bir güvenceyi ifade etmek için,
usullerin doğası, zamanlaması ve sınırlarını belirlememiĢtir. Rapor, gerçekleĢtirilecek olan usuller üzerinde anlaĢmıĢ olan
taraflarla sınırlıdır (örneğin düzenleyici bir kurul gibi), çünkü üçüncü kiĢiler usullerin sebeplerinin farkında değildirler ve
sonucu yanlıĢ yorumlayabilirler.
3.4
3.4.1
Üzerinde GörüĢ Birliğine VarılmıĢ Usullerle Ġlgili Raporlama
Üzerinde görüĢ birliğine varılmıĢ usullerle ilgili rapor, usuller ve bulgular Ģeklinde olmalıdır. Rapor aĢağıdaki öğeleri
içermelidir:






Bağımsız kelimeyi içeren bir baĢlık

Usullerin yeterliliğinin sorumluluğunun sadece belirtilen taraflarda olduğunu gösterir bir ifade ve bu usullerin yeterliliği için
bir sorumluluk kabul etmeme bildirisi

GerçekleĢtirilen usullerin ve ilgili bulguların bir listesi
BelirtilmiĢ tarafların tanımlanması
Ana sorunun tanımlanması (veya ilgili yazılı belge) ve görevin çeĢidi
Sorumlu kiĢinin tanımlanması
Ana sorunun sorumlu kiĢinin sorumluluğunda olduğunu belirten bir ifade
GerçekleĢtirilen usullerin, raporda belirtilen kiĢiler tarafından görüĢ birliğine varılmıĢ olan usuller olduğunu gösterir bir
ifade
86
G20 Raporlama(Devamı)
3.5
3.5.1
3.5.2


BS Denetçisinin iĢin içinde olmadığını ve ana sorunla ilgili bir inceleme yapmadığını gösterir bir ifade

Raporun kullanımı ile ilgili sınırlamaların bir ifadesi, çünkü raporun sadece belirtilen taraflarca kullanılması planlanmıĢtır
BS Denetçisinin ek usuller kullanıp kullanmadığını, dikkatini çeken ve rapor edilecek baĢka konular olup olmadığını
gösterir bir ifade
Görev Emri
Düzenlemeyici ve benzeri zorlayıcı gereksinimden dolayı yapılması gereken bir görevin olduğu bir durumda, BS Denetçisinin,
bu görevin ilgili yasa ve diğer zorunlu sözleĢme kaynaklarından sözleĢme türünün açık olduğu konusunda tatmin olması
önemlidir. Eğer bir belirsizlik varsa, BS Denetçisi veya atanan taraf ilgili kurumlarla görüĢmesi ve diğer tarafın
sorumluluğunun oluĢturulması ve düzenlenmesi ihtiyacı ve sözleĢme yapılarak anlaĢılması, gerekli güvencenin sağlanması
tavsiye edilir..
Bir BS Denetçisi, görev tamamlanmadan önce görevi bir ―denetim‖den ―gözden geçirmeye veya üzerinde görüĢ birliğine
varılmıĢ usule‖ dönüĢtürmesi istenirse, bunu yapmadan önce bunun uygun olup olmadığını değerlendirmesi gereklidir ve
makul bir açıklaması olmadığı sürece değiĢiklik yapmaması gerekir. Örneğin bir raporu iyileĢtirmek için değiĢiklikten
kaçınmak uygun değildir.
4.
BS DENETĠM GÖRÜġÜ
4.1
4.1.1
Sınırlamalar
BS Denetçisinin görüĢü, doğası gereği sonuçlandırıcı olmaktan ziyade ikna edici olan denetim kanıtı, yeterli ve uygun kanıtın
toplanması için gerekli olduğu belirlenen usullere dayanır. Bu kanıt doğasında sonuca ulaĢtırıcı olmasından ziyade ikna
edicidir. Bir BS Denetçisi tarafından iç kontrollerin etkinliği hakkında sağlanan bir güvence, iç kontrollerin doğasından dolayı
ve kalıtsal sınırlamalardan dolayı sınırlıdır. Bu sınırlamalar Ģunları içerir:



Yönetimin bir iç kontrolün, beklenen faydalardan daha fazla maliyete sebep olmaması ile ilgili olan istemi


ÇalıĢanların aralarında veya üçünü taraflarla gizlice anlaĢmaları sonucu iç kontrollerden kaçınma ihtimali


Yönetimin aynı iç kontrolü diğer personeli uygulamama ihtimali
Çoğu iç kontroller rutin olmayan iĢlem/olaylara doğru değil de rutin olanlara eğilimlidir
Dikkatsizlik, aĢırı yorgunluk, yönergelerin yanlıĢ anlaĢılması, yargıya varmadaki hatalar veya dikkat çeldirici Ģeyler
sonucu oluĢabilecek insan hataları ihtimali
Ġç kontrolden sorumlu bir kiĢinin bu sorumluluğu suiistimal etmesi, örneğin yönetimin bir üyesinin bir kontrol usulünü göz
ardı etmesi ihtimali
ġartlardaki değiĢikliklerden dolayı iç kontrollerin yetersiz kalması ve usullere uyumun kötüleĢmesi ihtimali
4.1.2
Görenek, kültür ve yönetim (ortak ve BT) sistemleri, yönetimin aykırılıkları önlemesini sağlayabilir fakat bunlar yanılmaz ve
ĢaĢmaz önleyiciler değildir. Etkin bir kontrol ortamı, bu tür aykırılıkların azalmasına yardım edebilir. Etkili yönetim kurulu,
denetim komitesi ve iç denetim iĢlevi gibi kontrol ortamı etmenleri yönetimi uygunsuz bir davranıĢa zorlayabilir. Alternatif
biçimde, etkin olmayan kontrol ortamı kontrol usullerinin etkinliğini bir iç kontrol yapısı içerisinde etkisiz hale getirebilir.
Örneğin, bir kurum yeterli BT kontrol usullerine sahip olsa dahi yönetim, kurumun saygınlığını kamuoyunda ters yansıtacak
herhangi bir savsaklamayı bastırmaya eğilimlidir. Ġç kontrollerin etkinliği, mülkiyet değiĢimleri, yönetim veya diğer personel
değiĢimleri veya kurumun pazar veya endüstrideki geliĢimleri tarafından da etkilenebilir.
4.2
4.2.1
Sonraki(Müteakip) Olaylar
Bazen olaylar test sürecinin hemen arkasından, fakat BS Denetçisinin raporunun da hemen öncesinde meydana gelir, ana
sorun üzerinde somut etkisi vardır ve bu yüzden ayarlama ve düzenleme veya ana sorun sunulurken açıklanması
gerektirirler. Bu olaylara, sonraki olaylar denilir. BS Denetçisi, bir kanıtlama görevini yerine getirirken sonraki olayları göz
önünde bulundurmalıdır. Bununla birlikte, BS Denetçisinin bu olayları tespit etme sorumluluğu yoktur.
BS Denetçisi, yönetime, rapordan sonraki devrede sonradan olan olaylar konusunda bilgisinin olup olmadığını, BS
Denetçisinin raporunun tarihinde, ana konu ve iddialar konusunda önemli etkili olup olmayacağını sormalıdır,
4.2.2
4.3
4.3.1
Sonuçlar ve Raporlama
BS Denetçisi, kontrol usullerinin etkinliği üzerinde bir fikir verme açısından temel oluĢturacak kanıtlardan çıkarılan sonuçları,
tanımlanmıĢ kıstaslara dayalı olarak gözden geçirmeli ve değerlendirmelidir.
4.3.2
Bir BS Denetçisinin kontrol usullerinin etkinliği ile ilgili raporu aĢağıdakileri içermelidir:



BaĢlık
Hitap edilen kiĢi/kurum
AĢağıdakiler dahil olmak üzere denetimin kapsamının tanımı:
87
G20 Raporlama(Devamı)



Etkinlik alanının tanımı veya tarifi

Görevin bir kanıtlama görevi olduğu durumlarda, kontrol usullerinin etkinliği hakkında yönetimin sunum kaynağını
tanımlayan bir ifade











4.3.3
4.3.4
4.3.5
5.
5.1
BS Denetçisinin sonuçları için temel olarak kullanılan kıstaslar
Etkinlik alanı için kontrol usulleri dahil etkin bir iç kontrol yapısının sürdürülmesinin yönetimin sorumluluğunda olduğunu
belirten bir ifade
BS Denetçisinin, görevi kontrol usullerinin etkinliği hakkında bir fikir belirtmek için yaptığını belirten bir ifade
BS Denetçisinin raporu, hangi nedenle hazırladığını belirten bir tanımlama ve bu raporun her türlü diğer amaçlar için
herkes tarafından kullanılamayacağını belirten bir belge
Kriterlerin kaynağının açıklanması veya kıstasların tanımı
Denetimin, ISACA BS Denetim Standartları ve diğer mesleki standartlarla ile uyum içinde yapıldığını belirten bir ifade
Sağlanan güveni ve diğer bilgileri etkileyen değiĢkenler hakkındaki ayrıntıları anlatan açıklamalar
Uygun olan yerlerde ayrı bir rapor da düzeltici eylem planı için önerileri ve yönetimin karĢılığını içermelidir
Herhangi bir iç kontrolün kalıtsal sınırlamalarının, hatalardan veya hilelerden kaynaklanan yanlıĢ ifadelerin olabileceğini
ve belirlenemeyebileceğini belirten bir bildirim. Ayrıca bu bildirim, mali raporla ilgili iç kontrolün değerlendirilmesini
yansıtan ifadelerin Ģartlardaki değiĢimler veya politika ve usullerde kötüleĢme yüzünden iç kontrollerin yetersiz
kalabilmesi riski altında olduğunu belirtmelidir.
- Bir denetim kontrol usullerindeki bütün zayıflıkları tespit etmek için tasarlanmamıĢtır ve zaman dilimleri boyunca
sürekli uygulanmaz ve kontrol usullerindeki testler örnekleme bazında yapılmaktadır
- BS Denetçisinin görüĢü açıklanınca, bu açıklamayı tanımlayan bir bildirimi kapsamalıdır.
Bütün önemli durumlarda, kontrol usullerindeki tasarım ve uygulamanın etkin olduğunu belirten bir bildirim
BS Denetçisinin imzası
BS Denetçisinin adresi
BS Denetçisinin raporunun tarihi. Çoğu durumlarda raporun tarihi yürürlükteki mesleki standartlara dayandırılır. Diğer
durumlarda raporun tarihi alan çalıĢmasının sonucuna dayandırılmalıdır.
Doğrudan bir raporlama görevinde, BS Denetçisi, iddialarda bulunmaktan ziyade ana sorunda doğrudan rapor verir. Rapor,
sadece görevin konusuna gönderme yapmalıdır ve yönetimin konu hakkındaki iddialarına herhangi bir göndermede
bulunmamalıdır.
BS Denetçisinin bir gözden geçirme görevini aldığı durumlarda rapor, BS Denetçisinin sonuçlarının tasarım ve iĢleyiĢ etkinliği
ile ilgili olduğuna iĢaret eder ve BS Denetçisinin iĢlem etkinliği ile ilgili çalıĢmasının araĢtırma, denetim, gözlemleme ve iç
kontrolleri asgari test ile sınırlandırıldığını belirtmelidir. Rapor, bir denetimin gerçekleĢtirilmediğini, yapılan usullerin bir
denetimden daha az güvence sağladığını ve bir denetim görüĢünün belirtilmediğini anlatır. Olumsuz güvence durumunun
ifadesi, tanımlanan kıstaslara dayanarak BS Denetçisinin denetim sırasında dikkatini çeken ve kurumun belirtilen kıstaslar
çerçevesinde etkinlik alanında kontrol usullerinin etkin olmadığına inanmasını sağlayacak herhangi bir durum olmadığını
belirtir.
Görevin devam ettiği esnada BS Denetçisi, kontrol zayıflığının farkına varabilir. BS Denetçisi yönetimin uygun kademesine
zamanında bu durumu raporlamalıdır. Görev usulleri, iĢ anlaĢmasına uygun olarak bir sonuç oluĢturmak için yeterli kanıt
toplayabilecek biçimde tasarlanmıĢlardır. Özellikli bir iĢ sözleĢmesi belgesinin olmadığı durumlarda, BS Denetçisinin
yönetime raporlanacak bütün konuların uygunluğunu tanımlamak için usul tasarlama sorumluluğu yoktur.
YÜRÜRLÜK TARĠHĠ
Bu yönetmelik bütün BS Denetimleri için 1 Ocak 2003 tarihinden itibaren etkindir. Terimlere dair tam bir sözlükçe ISACA‘nın
www.isaca.org/glossary adresinde bulunabilir.
88
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi
1.
ARKA PLAN
1.1
1.1.1
ISACA Standartlarıyla Bağlantı
ISACA BS Denetim Standartlarının, BS Denetim Rehberleri kadar BS Denetçisinin ERP sistemlerinin denetimi görevi veya
ERP sistemi uygulama projeleri ile de doğrudan iliĢkisi vardır.
Örneğin, S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı ile uyum içerisinde ERP ile ilgili denetim iĢi bağlı çalıĢan BS
Denetçisi veya diğer denetçi tarafından yürütülen denetimler veya diğer denetim personeli için BS Denetçi, BS Denetçisince
yeterli uygun gözetime tabi olmalıdır.
BS Denetçisinin ERP sistemleri ile ilgili denetim dıĢı rollere katıldığı durumlarda, BS Denetim Standartları ve Rehberlerine
ilave olarak ilgili S2 Bağımsızlık ve G12 Kurumsal ĠliĢkiler ve Bağımsızlık Rehberine, BS Denetçisi, BS Kontrol Uzmanları
için ISACA Standartlarının kullanımını gözden geçirmeli ve uygunluğuna dikkat etmelidir.
Eğer BS Denetçisi, ĠĢ Süreci Yeniden Yapılandırma alanında, denetim dıĢı bir rol alacaksa ISACA‘nın BS Denetim
Yönetmeliği G26 ĠĢ Süreci Yeniden Yapılandırma maddesi incelenmelidir.
ISACA‘nın Standartlar Kurulunun ilanlarına ek olarak, AraĢtırma Kurulu birkaç proje yapmıĢtır. Bunlar www.isaca.org
sitesinden indirilebilirler ve özellikli ERP ürünlerine bağlı olarak BS Denetçisinin dikkatine sunulabilir.
1.1.2
1.1.3
1.1.4
1.1.5
1.2
1.2.1
1.2.2
COBIT Bağlantısı
COBIT Çerçevesi, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek
ve beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖ Ģeklinde ifade eder.
COBIT Yönetim Rehberleri, sürekli kontrol kendini-değerlendirmeli sürekli yönetim-kaynaklı bir çerçeve çizer. Bu çerçeve
Ģunlara odaklanır:




1.2.3
1.2.4
1.2.5
1.2.6
1.3
1.3.1
1.3.2
1.4
1.4.1
1.4.2
Performans ölçümü-ĠĢ gereksinimlerini destekleyen BT iĢlevinin ne kadar iyidir?
BT kontrol profili-Hangi BT sürecinin önemlidir? Kontrol için kritik baĢarı etmenlerinin nelerdir?
Farkındalık-Hedeflere ulaĢma riskleri nelerdir?
Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapmaktadır? Sonuçlar, nasıl ölçülür ve karĢılaĢtırılır?
Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar. Anahtar performans
göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların
performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme
için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.
Yönetim Rehberleri, öz değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası olarak sürekli
izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.
COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol setleri ve teknikleri sağlar. Özellikli denetim kapsamına
uygulanacak COBIT‘teki en uygun süreçlerin seçilmesi, belli COBIT BT süreçlerinin seçilmesine ve COBIT bilgi kıstaslarına
bağlıdır.
Belirli COBIT hedef veya süreçleri için bu Rehberin kapsadığı alan incelenirken bu belgenin ek kısmındaki COBIT kaynakları
göz önünde bulundurulmalıdır.
Rehber Gereksinimi
Üretim endüstrisi için kaynak planlama sistemlerinden geliĢen ERP sistemleri, farklı bölümlerin yönetimi ve süreç bilginin
sağlayan geniĢ bir iĢ alanındaki verileri kullanır. ERP terimi, artık sadece planlama dalından ziyade bir kurumun kritik iĢ
süreçlerine iĢaret eder. Bu kavramın faydalı olmasına rağmen, ERP sistemi uygulamaları, yeteri kadar yönetilmez ve kontrol
edilmezlerse beklenen sonuçları vermekte baĢarısızlığa uğrayabilirler. Dahası, ERP sistemlerinin geniĢletilmiĢ kullanımını
destekleyen, ERP kontrol ihtiyacı ve güvenliğin önemini artıran değiĢen teknolojiler ve ortaya çıkan eğilimler vardır (webdestekli müĢteri arayüzleri gibi).
Bir ERP sisteminin denetimi, BS Denetçisinin özel bilgiye sahip olmasını ve karmaĢık özellikleri anlamasını baĢarılı
uygulamalar için gerekli entegre süreçlerin oluĢturulmasını, özel satıcı ürünlerinin kullanımı ve kontrollerine sahip olmasını
gerektirir..
Rehberin Uygulaması
BS Denetçisi, bu Rehberi kullanırken, diğer ilgili ISACA standartlarını ve rehberlerin bu rehberle iliĢkisini göz önünde
bulundurmalıdır. Rehber, bir ürüne –özel olmaktan ziyade genel olarak yazılmıĢtır. BS Denetçisi, ERP sistemine veya diğer
ürünlere/usullere dayalı olarak bu rehberi uyarlamayı göz önünde bulundurmalıdır.
Bu rehber, BS Denetçisinin bir ERP sistemini denetlerken ISACA Standartlarıyla ve COBIT ile nasıl uyum sağlayacağına dair
bilgiler sunar.
2.
KURUMSAL KAYNAK PLANLAMA SĠSTEMLERĠ
2.1
2.1.1
Tanımlar
Kurumsal kaynak planlama birincil olarak bir kuruluĢtaki kaynakların yönetiminin planlamasını ve yönetimini göstermek için
kullanılır. Ġkinci olarak, bütün iĢ sürecini, bütünleĢik satıĢ, envanter, personel, müĢteri hizmetleri, nakliye, mali yönetim ve
diğer iĢ dallarını yönetmek için kullanılabilecek bir yazılım sistemidir. Bir ERP sistemi, tipik olarak ortak bir veritabanına, farklı
bütünleĢik iĢ süreci uygulama modüllerine ve iĢ analiz araçlarına dayalıdır.
89
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı)
2.2
2.2.1
ERP Sistemlerinin Uygulanmasındaki Riskler ve Kontrol Problemleri
ERP sistemleri, bir kurumun iĢleyiĢini desteklemek için uygulanırlar ve baĢarılı olmak için, kurumun etkin bir biçimde
çalıĢmasını sağlayan bütün önemli süreçleri ve usullerinin tamamen bütünleĢik olmaları gereklidir. BütünleĢik ERP yapısı,
göz önünde bulundurulursa bunlar, aĢağıdaki alanlarla ilgili bir kurumun risklerine ilave edebilir:
 Endüstri ve iĢ ortamı
 Kullanıcı veya yönetim davranıĢı
 ĠĢ süreci ve usulleri
 Sistem iĢlevselliği
 Uygulama güvenliği
 Temel altyapı
 Veri dönüĢümü ve bütünlüğü
 Sürekli bakım/iĢ sürekliliği
2.2.2
ERP sisteminin uygulaması ve sürekliliği ile ilgili bu riskler, uygulamanın incelenmesiyle veya teknik risklerin yalıtılmasıyla
belirlenip kontrol edilemezler; ancak hizmet verilen kurumun iĢ süreçleri kontrol hedefleri bağlantılı olarak ele alınmaları
gerekmektedir. Bu yüzden BS Denetçisinin karĢısındaki zorluk, kurumun faaliyet gösterdiği iĢ ve düzenleyici alanı anlaması,
ölçülebilir uygulamaları tanımlama, teknik riskleri, az ölçülebilir prosedürleri veya davranıĢsal riskleri tanımlamada yetenekli
olmaktır.
ERP tarafından iĢlemden geçirilen verinin son derece fazla olduğu büyük bir kurumda örneklerin ve eğilimlerin analizi,
iĢlemlerin etkinlik ve verimliliğinin araĢtırılmasında son derece faydalıdır. Çoğu ERP‘ler, bu özetleme ve analiz için özel
araçları kapsayan imkanları sağlar. ERP içerisinde veri analizi araçlarının kullanımı, BS Denetçisine bütün ERP kullanım
ömrü boyunca yardımcı olacaktır (Uygulama öncesi ve sonrası).
2.2.3
2.3
2.3.1
2.3.2
2.3.3
2.3.4
ĠĢ Süreci Yeninden Yapılandırma(BPR) ve ERP Uygulaması
BPR ve ERP Uygulama projeleri, bağımsız faaliyetler gibi düĢünülebilir. Kuramsal olarak, her proje bir kurumda diğeri
olmaksızın var olabilir. Uygulamada ise, sıklıkla aynı kurumda birbirini etkileyerek ve birbirine bağımlı olarak aynı zamanda
uygulanırlar. Bir ERP, var olan bir sistemin yerine geçmesi için seçilebilir ve BPR geciktirilebilir. Bir BPR uygulamada olabilir
fakat tamamlanmadan bitirilebilir ve bir ERP uygulaması baĢlatılıp devam ettirilebilir.
ERP ve BPR uygulamaları sıklıkla geliĢtirmenin farklı basamaklardadır. Bir BPR projesi baĢlatılabilir ve birkaç ay sonra bir
ERP gerektiği sonucuna varılırsa, bir edinme projesi baĢlatılır. Benzer bir biçimde, yeni bir BT sistemi edinmek üzere bir
karar verilip ERP de seçilebilir. Uygulama süreci boyunca ERP‘nin bir iĢin yediden tasarımı ve bir BPR faaliyetini
gerektirebileceği unutulmamalıdır.
BS Denetçisinin birincil odak noktası, ERP uygulaması olmalıdır. Bununla birlikte, eĢ zamanlı bir BPR, uygulama sürecine
yeni riskler katabilir ve sıklıkla mevcut riskleri değiĢtirebilir: Örneğin:
 Bir BPR tarafından öngörülen değiĢiklikler insanların farklı bir biçimde davranmalarını gerektirebilir ve kurum içerisinde
düĢmanlık bile ortaya çıkarabilir. Bu, ERP uygulama projesine aktarılabilir.
 BPR, kurumun uygulamadaki ERP kaynaklarını kurutabilir
 Yukarıdaki iki riskin ERP uygulamasında hiç etkisi olmasa bile, BPR tarafından getirilen yeni süreçlere olan yabancılık,
yetersiz süreç tanımına ve ERP‘nin en iyileĢtirilemeyen yapılandırmasına yol açabilir.
 BPR ve ERP, gerektiği kadar bütünleĢik olmayabilirler, geride en iyileĢtirilememiĢ performans ve gereksiz harcamalar
bırakabilirler.
 Bir ERP‘yi ―DeğiĢim aracı ‖ olarak kullanmak BPR‘den sapmalara yol açabilir. Yeni, güçlü teknolojilerle bir süreci, en
uygun olduğu için değil de sadece yeni teknoloji ―bunu yapabilir‖ mantığına dayanarak uygulamaya doğru bir eğilim
vardır.
AĢağıda BPR gerçekleĢtirilirken BT‘nin güçlü etkisinin olacağı basamaklara özel dikkat gerektiren adımlar vardır:
 Analiz safhası-Var olan süreçler, halen kullanımdaki bilgi ve BT sistemleri analiz edilir ve yeniden yapılandırılması
gereken süreçler tanımlanır. Kurum sürecinde, bilgi ve BT kullanımı önemli değiĢikliklerin aracı olarak görev
görebileceğinden dolayı BS Denetçisi BPR sürecinin ilk safhalarında faydalı katkılarda bulunabilir.
 Yeniden tasarım süreci-Yeni süreçler, yeniden tasarlanırlar, yeni bilgi veya var olan bilgiyi yeni kullanma yolları
araĢtırılır ve yeni bir iĢ sisteminin ayrıntılı planı belirlenir. Yeni iĢ akıĢının ―Olması Gereken Model‖i ve yeni bilginin farklı
iĢ alanlarında nasıl paylaĢılacağı ve yeni BT sistem özellikleri, BS Denetiminin kapsamını alanını olabilirler.
 DönüĢtürme aĢaması-Göç stratejisi, geliĢtirilir, göç eylem planı oluĢturulur ve sonra uygulanır. BT sistemlerinin
dönüĢümü, yeni bilgi ve yeni teknolojilerin geliĢi ve eski bilgilerin ve BT sistemlerinin kullanım dıĢına çıkarılması BS
Denetimimin kapsamı alanı olabilirler.
90
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı)
2.4
COBIT Uygulaması ve Kullanımı
2.4.1
COBIT, ERP sistemleri incelenirken birçok alanda uygulanabilir. Farklı kontrol hedeflerinin iliĢkisi, bazı kurumların kontrol
yapılarının gereksinimleri gibi, kurumdan kuruma değiĢecektir. Bununla birlikte, inceleme sırasında COBIT uygularken iyi bir
baĢlangıç, yönetimin BT ile ilgili varsayımlarını dikkate almak olacaktır (bakınız COBIT Uygulama Rehberi ). Gartner Grup,
yönetimin ERP sistemleri ile ilgili endiĢeleri hakkında bazı özellikli ilgi alanları tanımlamıĢtır. Bunlara aĢağıdakiler dahildir:
 Kullanıcı gereksinimlerini karĢılamada baĢarısızlık
 BütünleĢmede baĢarısızlık
 Teknik altyapıyla uyumsuzluk
 Satıcı destek problemleri
 GeniĢ ve karmaĢık kurulumlar
2.4.2
ITGI [eski adı ISACF]tarafından tanımlanan ilgili kontrol hedefleri yukarıda ele alınan varsayımları karĢılamak için
kullanılabilirler. Ayrıca BS Denetçisi, göreve-bağlı kontrol hedefleri ve bu özellikli kontrol hedefleri için göreve-özel denetim
usulleri oluĢturabilir.
3.
BS DENETĠM STANDARTLARIYLA ETKĠN UYUMLULUĞUN BAġARILMASI
3.1
3.1.1
GiriĢ Yorumları
BS Denetçisinin bir ERP sistemi veya ERP uygulama projesiyle, bir rol ile karĢı karĢıya kalması durumunda, ISACA‘nın BS
Denetim Standartları ve BS Denetim Rehberleri çok benzerdir ve BS Denetçisince bu standartlar ve rehberleri göz önünde
bulundurulmalı ve uyulmalıdır. BS Denetçisi, bu denetim standartları, planlanan ERP sistemi ve ilgili usuller sırasında en iyi
biçimde sunulmuĢ olmalıdır.
Bu Rehberin amaçları için, sadece BS Denetim Rehberlerine özellikle baĢvurulmuĢtur. ERP‘ler BS Denetçisi için, ve özenle
ve planlı bir biçimde kullanılması gereken risk yönetimi için çeĢitli fırsatlar sağlar. Bir ERP sisteminin veya bir gözden geçirme
uygulaması için planlama aĢaması baĢarılı bir denetim için çok önemlidir. ve imzalamalıdır.
Bir ERP sistemi veya uygulamasının denetimi, BS Denetçisi tarafından stratejik olarak farklı bir yaklaĢım gerektirir. ERP‘ler,
çeĢitlendirilmiĢ iĢ sürecini bütünleĢtirir ve bir BPR projesi ile bağlantılı olarak da uygulanabilir. Bu, yeniden yapılandırmanın
bir parçası olarak, bir zamanlar bir kurumun finans ve iĢlemlerini korumak için kullanılan kritik kontrol usulleri, değiĢebilir veya
göz ardı edilebilir. Bu da tamamen yeni kontrol yapıları/usulleri ve ilgili risklerle sonuçlanır.
BS Denetçisi, ERP sistemleri veya uygulama projeleri için, denetimin yapıldığı yöntemleri de tekrar yapılandırmalıdır. Riskler
yoğunluk, farklılık ve ortaya çıkma araçları açısından bir dönüĢüme maruz kalmıĢ olacaklardır. Bu riskler,
bir dereceye
kadar bütünleĢik program mantığı ve ERP yazılım ürünlerinden kalan iĢ süreci iĢlevleri sebebiyle ortaya çıkarlar. Ayrıca,
kalıtsallık kontrollerinden çoğu artık uygulanabilir olmayacaktır, BS Denetçisi, yeni kontrol yapısını tanımlama gereği
duyacaktır.
Bir ERP sisteminin BS Denetimini planlarken, BS Denetçisi, denetimi bölümlere ayırmaya ve bölümleri birbirini izleyecek
Ģekilde denetimi sağlamalıdır, bütün bir ERP‘nin denetlenmesi büyük çapta bir görevdir ve BS‘ne veya diğer denetim
kaynaklarına zarar verebilir.
3.1.2
3.1.3
3.1.4
3.1.5
3.2
Denetim Yönetmeliği
3.2.1
BS Denetim iĢlevinin Denetim Yönetmeliği, kurumun bir ERP sistemi uygulamaya karar vermesinin sonucu olarak değiĢme
gereği gösterebilir. Örneğin, bir ERP sisteminin etkin uygulanmasıyla ilgili BPR varsayımları, BS Denetçisinin iĢ kapsamını
veya diğer denetim iĢlevleriyle (finansal, iĢlemsel) iliĢkilerinin geniĢletilip daha da bütünleĢik duruma getirilmelerini
gerektirebilir.
BS Denetçisince, denetim için planlanan kapsam BS Denetim yönetmeliği ile uyum içerisinde tanımlanmalıdır.
BS Denetçisinin rol(ler)i, ERP sistemi veya inceleme projesiyle ilgili olduğu için, bir kurumun üst seviye yöneticileri ve sistem
yönetim kadrosu tarafından bu rollerin tam olarak anlaĢılması zorunludur. BS Denetim Rehberi G5 Denetim Yönetmeliği
gözden geçirilmeli ve ERP sistemi ve kurumun ilgili faaliyetleri bağlamında değerlendirilmelidir.
3.2.2
3.2.3
91
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı)
3.3
3.3.1
3.3.2
3.4
3.4.1
Bağımsızlık
Eğer BS Denetçisi, ERP sisteminde veya bir ERP sistem uygulaması projesinde denetim dıĢı rollerden sorumlu olacaksa BS
Denetim Rehberi G17 Denetim dıĢı Rolün BS Denetçisinin Bağımsızlığı üzerine etkisi bölümü gözden geçirmeli ve
uygulanmalıdır.
Eğer BS Denetçisi, bir ERP sistemi veya ilgili kurumda denetim dıĢı bir rol üstlenecekse, ISACA‘nın BS Kontrol Uzmanları
Standartlarını inceleyip uygulamalıdır.
3.4.5
Yeterlilik
BS Denetçisinin, ERP sistemleri kullanan bir kurum için yaptığı uzun dönem denetim stratejileri ve planları, süregelen BS
Denetiminin geliĢimini ve BS Denetçisinin yeterliğini destekleyici yönler içermelidir. Bu, bilgi seviyesini artırmayı ve sürekli
mesleki eğitimi içermelidir (Standart S4).
Eğer bir BS Denetçisi, bir ERP sisteminin BS Denetimi iĢini üstlenmek için gerekli yeterliliklere sahip değilse, BS Denetçisi
denetimi dıĢarıdan yetkin bir BS Denetçisine anlaĢarak vermeyi düĢünmelidir.
Bir ERP sistem denetimi için gerekli olan yetenekler, ERP denetimi veya ürün eğitimi alarak, iĢ baĢında deneyim kazanarak,
ERP alanları veya denetim gruplarına katılarak edinilebilir.
Nitelikli ürün-bağlantılı eğitim ve deneyim (örneğin özellikli ERP ürünleri farklı olabilir veya farklı anlama gelebilirler), kiĢisel
kullanım, araĢtırma veya gözlemle elde edilebilir. GeçmiĢ görüĢmeler veya BS yönetimi, teknik personel ve sistemden
sorumlu kullanıcılar tarafından sağlanan kısa bilgilendirmeler, BS Denetçisine, güvenlik, kontrol ve süreçlerin özellikleri veya
özellikli bir ERP sisteminin risklerini anlamada yardım edebilir.
Bu rehberdeki EK Bölüm, yetkinlik eksikliklerinin nasıl doldurulabileceği konusunda ayrıntılı yol göstericilik sağlar.
3.5
PLANLAMA
3.5.1
Bir ERP sistemi veya bir ERP uygulama projesinin BS Denetiminin baĢlangıcında BS Denetçisi geçmiĢ bilgileri elde etmek ve
kurumun var olan/planlanan yayılmasını ve ERP sistemi ve ilgili kaynaklarını anlamak için yeterli zaman ayırmalıdır. BS
Denetçisi, bu amaçlara ürün araĢtırması, yönetim ve diğer personelle doğrudan görüĢmeler ve belge inceleme
usullerini kullanarak ulaĢır.
Daha özel olarak ek bölüm, bir ERP sistemi uygulamasında BS Denetçisinin göz önünde bulundurması gereken temel
sorunlar ve öğelerle ilgili genel açıklamalar sağlar.
ERP sistemleri ve uygulamaları, BS Denetçisinin karĢılaĢtığı diğer iĢ sistemlerinden daha bütünleĢik ve daha karmaĢık
olmasına rağmen, bünyelerinde daha geleneksel sistemlere ve uygulama projelerine benzer birçok kurumsal, çevresel ve
uygulamalarla ilgili, kontroller ve risklerle ilgili yönetim öğelerini barındırırlar.
Bir BS Denetçisinin, bir ERP projesi denetimi sırasında içinde yer alacağı alanların bir kurumun iĢlemlerinin bütün yönlerini
içermesi önemlidir. Bu yüzden, bir ERP sistemini bütünüyle bir denetimi çok geniĢ alan beceri dizisi gerektirir. Bu beceri
dizisinin, bir tek kiĢide veya bir tek denetim disiplininde bulunması çok da muhtemel değildir. Bir ERP denetim
incelemesinde, denetim becerilerinin doğru bir bileĢiminin bulunması çok önemlidir. BS Denetçisinin becerilerini tamamlamak
için mali, iĢletimsel ve düzenleyici alanlarla ilgili denetim becerileri ve/veya kaynakları gerekebilir.
Planlama yapılırken, varsa ERP sürecinden hangisinin internet ortamına taĢındığının bilinmesi önemlidir. Kurumsal portallar
yoluyla web üzerinden iĢ yapan birçok kurumla ve web-tabanlı gezici hesaplama araçları yoluyla BS Denetçisi denetlenen
ERP‘nin bu kategoriye girip girmediğini belirlemelidir (Örneğin, intranet, extranet veya Internet). Bu, denetim iĢinin
gerçekleĢtirilmesini etkileyecektir ve ERP‘nin sınırlarını geniĢletecektir.
BS Denetçileri, yönetimin gerçekleĢtirilecek olan denetimin kapsamı konusunda bilgilendirilmiĢ ve tatmin olmuĢ
bulunduklarından makul güvencesini sağlamalıdır.
3.4.2
3.4.3
3.4.4
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.6
ĠĢin GerçekleĢtirilmesi.
3.6.1
BS Denetçisi, bir ERP ortamının denetlenmesi için gereken değiĢik araç ve teknikleri, kitleleri kapsamak, muhtemel risklere
iĢaret etmek ve etkin bir gözden geçirme yapabilmek amacıyla kullanabilir. Sıklıkla, bir ERP sistemi için düĢünülen
kontrollerin ilk tasarımı, zaman içerisinde değiĢiklik gösterir. Bu ERP‘nin sadece ERP‘den kaynaklanan veya ERP‘ye giden
arayüzlerle değil, aynı zamanda web-tabanlı ortam olarak da hizmet verebilir geliĢen bir ortamla bütünleĢtirilir, bu durumda
süreçler ERP‘nin kendisini de geçer, aĢağıdaki araç ve tekniklerin göz önünde bulundurulması gerektiği açıktır:
 Veri Madenciliği ve analizi-ERP ürünleri, üçüncü tarafların araçları, önemli veri örnekleri tanımlama ve analiz etmede
kullanımının var olmadığı yerlerde genellikle raporlarla ilgili sağlam denetim raporlarıyla birlikte gelirler...
 Görevlerin ayrılığı analizi/yetki analizi-Bilgi, birim sistemleri ile sınırlı değildir, bir ERP sisteminin bütünleĢik doğası
güvenlik ve eriĢim ayrıcalıklarının çevresinde ileri derecedeki risklerle sonuçlanır. ĠĢ kuralları, muhtemel güvenlik
varsayımlarının incelenmek üzere iĢaretlendiği durumları tanımlamak için kullanılabilir.
 ĠĢ akıĢı/rapor teslimi-ERP‘lerin içerisindeki iĢ akıĢı, ayrıcalık raporlarının analiz ve inceleme için gerekli kiĢilere iletilmesi
için kullanılabilir. Bilginin gerçek, zamanında elde edilebilir olması halinde sebep sonuç analizi, çok daha az karmaĢıktır
ve düzeltici iĢ önlemlerinin baĢlatılması daha kolaydır.
 Yükseltme/kontrol bilgisi-ERP ürün tedarikçileri, var olan iĢlevin sürekli düzeltmesine vurgulamaktan ziyade, yeni ve
geliĢmiĢ iĢlevselliğe yönelik AR & GE faaliyetlerine yatırım yapmayı sürdürür. ERP‘nin en son iĢlevselliği, kapasite
yönetimi ve kontrol yeteneklerinin var olması, BS Denetçisi dahil kurumun için hayati önemdedir. ERP‘de mevcut olan
teknik kontrol ayarlarında, ERP‘nin temel uygulamasının parçası veya güncellemesinin olup olmadığına uygun seviyede
olmayı sağlayan araçlar mevcuttur.
92
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı)
3.6.2
Bir ERPnin denetimi, süreç alanının bütünlüğünü kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde
bulundurulmalıdır:
 Uygulanan süreçler için kontrol hedeflerinin tanımlanması.
 Uygulanan süreçlerdeki mali ve iĢle ilgili muhtemel riskleri tanımlamak ve analiz etmek.
 Bu riskleri kontrol etmek için en etkili ve verimli yolları tasarlamak ve geliĢtirmek (genellikle uygulayıcıların bu konularda
ya deneyimi yoktur ya da bu konuya odaklanmazlar).
 Anahtar iĢ faaliyetlerinin bağımsız bir analizini gerçekleĢtirmek, kurum sürecini karĢılaĢtırmak ve süreç geliĢtirmeleri
önermek.
 ERP‘nin içerisindeki kontrollerin uygun ve gerçek olmasını sağlamak.
 ERP olmayan sistemlerden ERP‘ye besleme yapan arayüzlerin incelenmesi (yasal durum, internete dayalı ve gezici
uygulamalar gibi).
 Ġç kontrol ve iĢ sürecine odaklanan denetim testleri gerçekleĢtirmek. Birçok kurum, ERP uygulamaları sırasında iĢ
sürecinde değiĢim mühendisliği uygularlar.
 ĠĢ süreklilik planlarını incelemek ve test edildiklerine dair makul güvenceyi sağlamak.
3.6.3
ERP denetimi, uygulama güvenliği alanını kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde
bulundurulmalıdır:
 Uygulama kontrolleri, yetkilendirmeler ve standart güvenlik yapılandırması dahil, standart ERP parametrelerini
incelemek.
 Değerli verileri korurken, bir yandan da kontrollü ve verimli bir biçimde iĢlemeye izin vermek amacıyla uygulama
güvenliğini değerlendirmek.
 ĠĢ sürecinin bütünlüğü ve uygulama güvenliğinin bütünlüğünün makul güvencesinin sağlanması amacıyla konfigürasyon
kararlarını değerlendirmek.
 Uygun güvenlik ve kontrollerin yapılması amacıyla tasarım belgelendirmesinin incelenmesi
 EriĢim hakkının uygun bir biçimde tanımlanıp, değerlendirilip, onaylandığının makul güvencesinin sağlanması konusunda
güvenlik yönetimi sürecinin değerlendirilmesi
 Birçok iĢ süreci intranet, dıĢ ağ veya Ġnternet yoluyla geniĢletilebilir. BS Denetçisi, güvenlik sürecinin bu risklere uygun bir
biçimde karĢılık verdiğine dair güvence sağlamalıdır.
3.6.4
ERP denetimi, altyapı bütünlüğü alanını kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde bulundurulmalıdır:
 Uygulama yazılım paketlerini destekleyen altyapı unsurlarının muhtemel konfigürasyon ve güvenlik risklerini tanımlamak
(Donanım, iĢletim sistemi, veritabanı yönetim yazılımı, ağ donanımı, Ġnternet ve intranet gibi).
 Kurumun uygulamalarını ve gelecekteki faaliyet hedeflerini destekleyecek BT altyapısının incelenmesi
 Veri bütünlüğü, eriĢebilirlik veya performans sorunlarına sebep olabilecek iç sistem mimarisi konularının tanımlanması.
 ĠĢ kurtarma planlarının incelenmesi ve test edildiklerine dair makul güvence sağlanması.
3.6.5
ERP denetimi, uygulama bütünlüğü alanını kapsayan bir güvence sağlar. AĢağıdaki özel konular göz önünde
bulundurulmalıdır:
 ÇalıĢanların asgari etkilenmesi ve bütünlük, güvenlik ve veri doğruluğu konularında kayıplar yaĢanmaksızın yeni ERP
ortamına düzenli bir geçiĢin sağlanması.
 Hukuki sistemlerden, yeni ürün ortamı ve arayüzlerine diğer sistemlerle birlikte veri aktarımıyla bağlantılı muhtemel
risklerin tanımlanması.
 ĠĢlevsellik, kontroller ve ―Uygulanmaya BaĢlanmadan Önce‖ hazır olma durumunun test edilmesi ve değerlendirilmesi.
 Veri kalitesinin değerlendirilmesi.
 Veri dönüĢtürme ve bütünlük stratejileri ve kontrol usullerinin değerlendirilmesi.
 Güvenliğin uygulun ve bütünlüğü için ve tamlığı için test planlarının değerlendirilmesi .
 Test sürecinin kullanıcı kitleyi dahil ettiğine ve yeni ERP sahibinin kullanıcı kabulünün tamam olduğundan tatmin
olduğuna dair güvence.
 ĠĢ süreci ve güvenlik varsayımlarının bütünlüğü için gereken eğitimin bağımsız incelenmesinin sağlanması
 Kontrol ve güvenlik ortamı ve uygulama süreci yönetiminin etkinliğinin uygulama sonrası gözden geçirilmesinin
sağlanması
 Ayrıcalık raporunun değerlendirilmesi
3.6.6
ERP uygulamasının denetlenmesi, proje sırasında herhangi bir zamanda o ana kadar ne yapıldığının ve gelecek için ne
planlandığının denetlenmesiyle uygulanabilir. Ġdeal olan denetim, ya proje sırasında farklı zamanlarda ya da sürekli
olarak yapılabilir. Sonunda kadar, bu konuda BS Denetçisinin, sıklıkla ana risklerin saklandığı en kritik uygulama alanlarına
hitap eden bir denetim çerçevesine ihtiyacı vardır, örneğin:
93
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı)





Proje yönetimi
Kalite yönetimi
Fayda yönetimi
Risk yönetimi
DeğiĢim yönetimi
3.6.7
Proje yönetimi dört safhadan oluĢur:
 Yönetim planlaması-Proje baĢlatıldığında bir yönetim planı geliĢtirilir, öngörülen faydalar üzerinde anlaĢılır, projenin
kapsamı ve projenin yapısı belirlenir.
 Proje uygulaması-Proje boyunca, iĢ planlama, kaynak yönetimi, proje kontrol, proje raporlama ve iletiĢim maddeleri
uygulanır.
 Proje tamamlama-Proje, uygulama safhasından, gerçek faaliyetlere baĢlanan ve önceden belirlenmiĢ ve kolayca
anlaĢılan bir bitiĢ noktasına sahip olmalıdır.
 Fayda elde edilmesi-uygulamadan sonra, proje yönetimi değiĢir ve kullanıcı davranıĢ değiĢikliğinin ve faydaların elde
edilmesinden sorumlu olan iĢ sahibine aktarılır.
3.6.8
Bir ERP sisteminin proje yönetimi, herhangi bir diğer büyük ölçekli yazılım projesinin yönetiminden çok da farklı değildir. Aynı
kavramlar, ERP sistemi uygulamasının yönetiminin denetlenmesine uygulanır,. örneğin:
 Yönetici mali desteğinin ve üst seviye yönetim desteğinin değerlendirilmesi
 Proje yönetim faaliyetlerinin bağımsız bir gözden geçirme ve analizinin yapılması
 Proje planlamanın ve kontrolün ve kalite güvencesinin bağımsız bir biçimde değerlendirilmesi
 Proje yönetimiyle ilgili diğer sorunların zaman ve bütçe aĢımı, iĢlevsellik boĢlukları ve personel yönetimi ile yetenek
gereksinimlerinin yanlıĢ eĢleĢtirilmesi gibi konuları kapsayan proje yönetiminin sorunlarının bulgularıyla ilgili çözümleri
yönetime sağlamak.
3.6.9
Bütün yazılım projelerinin bütünleĢik bir parçası olması gereken kalite yönetimi, sadece projenin çıktısıyla ilgilenmemelidir;
ancak aynı zamanda ERP projelerinin, proje planlama, tasarım belgelendirme, nitelikler, usuller, eğitim araçları ve uygulama
planları gibi bütün faaliyetlerini kapsamalıdır. Proje örgütlemesi içinde bağımsız bir iĢlev olarak ele alınması gereken kalite
güvencesi, bir denetim etkinliği olarak görülmemelidir. Diğer yandan, ERP sistem uygulaması esnasında kalite yönetiminin
etkinliğinin ve kalite güvencesinin denetlenmesi gereklidir.
Fayda yönetimi denetiminin ana odak noktaları, iĢ sözleĢmesi ve iĢle ilgili fayda gerçekleĢtirme planıdır. Bunlar aĢağıdaki
Ģekilde tanımlamalıdırlar:
 Projenin iĢ amaçları ve ulaĢılması beklenen faydalar. Faydalar (hem nicel hem de nicel olmayan faydalar), fayda
kayıtlarında açıkça tanımlanmalıdır. Belirlenen faydalar, tanımlanabilir ve ölçülebilir öğelere ayrılmalıdır.
 Faydaların elde edilmesinin planlanması ve bunların iĢ süreci değiĢim yönetimiyle iliĢkisi
 Fayda sağlanmasının sürecinin makul güvencesinin sağlanması amacıyla kontrol usulleri
3.6.10
3.6.11
ERP sistemi uygulamasından önce uygulanan bir fayda yönetimi, baĢarılı bir ERP projesi açısından faydalı sonuçlar
doğurması olanağını sağlar. Proje tamamlandıktan sonra (genelde 18 ay sonra) bir fayda gerçekleĢme incelemesi
yapılmalıdır.
3.6.12
Risk yönetimi, proje risklerinin yönetiminden daha büyüktür, ERP projelerinin iĢ üzerine yükleyeceği risklerin de yönetimidir.





ĠĢ süreçlerinin yeniden yapılandırmasıyla ilgili riskler yönetimi.
Proje yönetimi ile iliĢkili risk yönetimi. Proje riskleri aĢağıdaki biçimlerde olabilir:
- Kalıtsal riskler, proje kapsamı ve hedeflerinin doğasının sonucu olan riskler
- Edinme, proje ve risk yönetimine uygulanmak için seçilen yöntemler, araçlar, teknik, beceri ve deneyimlerden
kaynaklanan edinilmiĢ riskler
Sistem uygulaması sırasındaki bilgi güvenlik yönetimi
Kullanılmaya baĢlandıktan sonra bilgi güvenliği yönetimi. Örnek:Sistemin iĢleyiĢi esnasında
ERP projelerine dıĢtan gelen sistemler tarafından getirilen risklerin ve ERP projelerinin üçüncü Ģahıslarda sebep
olabileceği risklerin yönetimi. Bu sebepten dolayı BS Denetçisi, özel ERP projesine dar bir odaklanmayı aĢan kurumsal
bir yaklaĢıma sahip olmalıdır.
94
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi(Devamı)
3.6.13.
Kurumun yeniden düzenlenmesi, iletiĢim, proje pazarlama ve personel eğitimi baĢarılı bir proje yönetimi için ana
etkinliklerdir. BS Denetçisi, önceki etkinliklere ek olarak, değiĢim yönetimi iliĢkililiği diğer kritik uygulama alanlarıyla (özellikle
fayda yönetimi ve risk yönetimi-değiĢime karĢı potansiyel direnci ve yeni tanımlanan rollerine göre insanların yetkilendirildiği
bilgi güvenliği de göz önünde bulundurarak) birlikte değerlendirmelidir. Bir ERP uygulamasından elde edilen faydalar, normal
Ģartlarda yeni sürecin uygulamadan önce tasarlanmasını ve kullanıcıların davranıĢlarını uygulamadan sonra yeni tasarlanmıĢ
süreçlere uymak üzere değiĢtirmelerini gerektirir. Bu yüzden iĢle ilgili faydaların elde edilmesinin denetlenmesi, geleneksel
ERP projesi kapandıktan sonra da devam edecektir.
3.7
RAPORLAMA
3.7.1
Denetim fikrinin belirtilmesi için ve/veya bir ERP projesi hakkında yorum yapmak için raporlama süreci herhangi bir diğer
denetim raporlama sürecinden farklı değildir. AĢağıdaki raporlama mekanizmalarından bir kısmı veya hepsi uygun olabilir:
 ERP proje yönetimine düzenli özet raporlar, toplantılar veya gözlem kurulu toplantıları (muhtemelen gündem maddeleri
olarak)
 Kararlılık için kontrol noktalarının açıklanması amacıyla proje kayıt izleme denetimlerinin tutulması
 Denetim fikrinin resmi raporları ve projenin yaĢam döngüsünde belirlenen göze çarpan aĢamalar
4.
YÜRÜRLÜK TARĠHĠ
4.1
Bu rehber bütün BS Denetimleri için 1 Ağustos 2003 tarihinden itibaren etkindir. Terimlere dair tam bir sözlükçe ISACA‘nın
www.isaca.org/glossary adresinde bulunabilir.
95
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi
EK
COBIT Referansı
Belirli bir denetim kapsamına uygulanacak, en uygun COBIT materyalinin seçimi, belirli COBIT BT süreçlerinin seçimine ve COBIT bilgi
kıstaslarına bağlıdır.
Bu rehber, uygulanmasının belli bir ERP çeĢidiyle sınırlandırılmasını önlemek için tasarlanmıĢtır. Aynı zamanda bir kurum içerisinde,
ERP kullanımının bütün yönlerini kapsaması için tasarlanmıĢtır. Bu yüzden bu Rehberin dört öğeyle de bağlantısı kurulabilir; COBIT
Alanları: Plan ve Organize, Edinme ve Uygulama, Teslimat ve Destek, Ġzleme ve Değerlendirme.
Belli bir denetim projesi kendi proje yönetmeliği tarafından belli bir ERP yönüyle sınırlandırılmıĢsa, bu durumda elbette ki
uygulanabilecek olan COBIT alanları ve iĢ süreci sınırlı olacaktır. Bunu aĢağıdaki örneklerle açıklayabiliriz: bunlar yorucu olmaları
amacıyla düĢünülmemiĢtir ve bir denetimin kapsamı hangi sürecin dahil edileceği konusunda değiĢebilir.
Örnek 1:
Bir ERP‘nin Planlanmasının ve Edinilmesinin Denetim/Ġncelenmesi
Plan ve Organize

PO1
Stratejik bir BT planı tanımlama

PO2
Bilgi mimarisini belirleme

PO3
Teknolojik yönü belirleme

PO4
BT kurum ve iliĢkileri tanımlama

PO5
BT yatırımının yönetimi

PO6
Yönetime amaçlar ve yönelim bildirimi

PO7
Ġnsan kaynakları yönetimi

PO8
DıĢ gerekliliklerle uyum sağlama

PO9
Risklerin değerlendirilmesi

PO10
Projelerin yönetimi

PO11
Kalite yönetimi
Edinme ve Uygulama

AI1
Çözümleri tanımlama

AI2
Uygulama yazılımı edinme ve sürdürme

AI3
Teknoloji mimarisi edinme ve sürdürme

AI4
BT usulleri geliĢtirme ve sürdürme
Örnek 2
Olgun bir ERP sisteminin Denetim/Ġncelenmesi
Plan ve Organize

PO4
BT örgütlemesi ve iliĢkileri tanımlama

PO5
BT yatırımlarını yönetme

PO7
Ġnsan kaynakları yönetimi

PO8
DıĢ gerekliliklerle uyumun sağlanması

PO9
Risk yönetimi
Edinme ve Uygulama

AI2
Uygulama yazılımı edinme ve sürdürme

AI3
Teknoloji mimarisi edinme ve sürdürme

AI4
BT usulleri geliĢtirme ve sürdürme

A/6
DeğiĢik yönetimi
Teslimat ve Destek

DS1
Hizmet seviyelerinin belirlenmesi

DS2
Üçüncü taraf hizmetlerinin yönetimi

DS3
Performans ve kapasite yönetimi

DS4
Sürekli hizmetin sağlanması

DS5
Sistem güvenliğinin sağlanması

DS6
Maliyetlerin tanımlanması ve nitelenmesi

DS7
Kullanıcıların eğitilmesi ve yetiĢtirilmesi

DS8
BT müĢterilerine yardım ve önerilerde bulunma

DS9
Konfigürasyon yönetimi

DS10
Sorun ve vaka yönetimi

DS11
Veri yönetimi

DS12
Tesis yönetimi

DS13
Faaliyetlerin yönetimi
Ġzleme ve Değerlendirme

M1
ĠĢlemelerin izlenmesi

M2
Ġç kontrol yeterliğinin değerlendirilmesi

M3
Bağımsız güvence sağlanması

M4
Bağımsız denetim sağlanması
96
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi
ERP Bilgi ve Tecrübe Ġhtiyacı
BS Denetçisinin
GeçmiĢ Bilgileri
ERP Sistemi
Uygulama Projesi
Mali ve yönetimsel kontrollerin ve genel olarak kontrol
risklerinin anlaĢılması
Genel olarak proje yönetim uygulamaları ve
kontrollerle ilgili bir anlayıĢ kazanılması
Mesleki BS Denetim standartlarının uygulanmasının iyice
anlaĢılması
BT alanında proje yönetim uygulamaları
kontrolleri hakkında bir anlayıĢ kazanılması.
AĢağıdaki alanlarda BT ile ilgili kontrollerin ve kontrol
risklerinin iyice anlaĢılması:
DeğiĢim yönetimi dahil, BT ile ilgili sistem geliĢtirme
yöntemleri ve standartlarıyla ilgili bir anlayıĢ
kazanılması
 BT ortamı

ve
ĠĢ süreçlerinin değiĢim mühendisliği ve uygulama
ilkeleriyle ilgili bir anlayıĢ kazanılması
MüĢteri/hizmet verici yapılarının anlaĢılması
ĠĢletim sistemleri ve veritabanı yönetim sistemlerinin
anlaĢılması
ERP‘ler ve -denetim üzerindeki etkileri dahiltasarımlarıyla ve yayılma felsefeleriyle ilgili genel bir
anlayıĢ kazanılması
ERP parçaları ve nasıl yapılandırıldıkları edildikleri,
bütünleĢtirildiklerini ve yayıldıklarıyla ilgili bir anlayıĢ
kazanılması
Bir ERP ortamındaki güvenlik ve
kavramlarıyla ilgili bir anlayıĢ kazanılması
BS Denetçisinin
Becerileri
yetkilendirme
Bir ERP‘deki kontrol riskinin anahtar alanlarına
odaklanabilen deneyimli bir BS Denetim uzmanlığı
Uygulama projelerinin gözden geçirilmesinde ve
değerlendirilmesinde deneyim
Bilgisayar destekli denetim tekniklerinin anlaĢılması
BDDT‘ler ve ERP içinde nasıl uygulanacakları
Yeteneklerin
Nasıl Edinileceği
Nerede ilave beceri/deneyim (örneğin mali
düzenlemelerle ilgili) gerektiğini anlama becerisi
Mesleki bir denetçi olarak sertifikandırma
veya
Uzman BS Denetçisi Sertifikası, CISA gibi
ERP‘nin denetimi gibi yönetim ve ERP kullanımı
konusunda uzmanlık eğitim kurslarına odaklanma
ERP uygulama projelerine ve bu tür projelerde BS
Denetçisinin rolüne odaklanan uzman eğitim
kurslarına kaydolmak
Pratik, iĢ-baĢında deneyim
KiĢisel çalıĢmalar, araĢtırma, Ġnternet vb.
Özellikle son kullanıcı topluluğunun bir parçası olarak
ERP öğrenme fırsatları
Pratik, iĢ-baĢında deneyim
KiĢisel çalıĢmalar, araĢtırma, Ġnternet vb.
97
G21 Kurumsal Kaynak Planlama (ERP) Sistemleri Ġncelemesi
ERP Sistem Uygulaması Konusunun Genel Unsurları ve Sorunları



















Hangi ERP ürün ve parçaları kullanılmakta veya kullanılacak?
(Parçalar arasında veri akıĢı gibi) parçalar nasıl bağlanmakta/bağlanacak?
Hangi veritabanı yönetimi ürün(ler)i kullanılmakta/kullanılacak?
ERP, DBMS ile nasıl yapılandırıldı/yapılandırılacak?
Hangi iĢletim sistemi ürünleri kullanılmaktadır/kullanılacaktır?
Her biri nasıl yapılandırılmıĢ/uygulanmıĢtır ve kontrol edilmiĢtir?
ERP hangi seviyede web ortamındadır?
Hangi süreçler web ortamına taĢınmıĢtır?
ERP olmayan sistemlerde iç veya dıĢ hangi arayüzler veya bağlantılar vardır/var olacak?
Her iĢlev nasıl kontrol edildi/edilecek?
Hangi seviyeye kadar ERP iĢlevselliği ve kontrol rolleri veya sorumlulukları merkezileĢtirilecek veya yerelleĢtirilcek?
ERP uygulaması sırasında ERP-dıĢı sistemlerden veya eski sistemlerden gelen verilerin dönüĢümü sırasında yönetim
tarafından veri bütünlüğü nasıl kontrol ve test edilmiĢtir/edilecektir?
ERP uygulama projesi sırasında, iĢ süreci değiĢim mühendisliği ne derece yer almıĢ/alacak?
Eğer yer almamıĢsa ne zaman yer alacak?
Öyleyse, hangi değiĢiklikler uygulandı ve neden?
ERP ve BPR projeleri ortak süreci tasarımlarına nasıl uyar?
Hangi BT donanımı ve ağ kaynakları kullanılmıĢ/kullanılacak ve yapılandırmaları nasıl yönetilecek?
ERP yönetim ve teknik destek rolleri ve sorumlulukları diğer ilgili BT desteklerinden (veri yönetimi, iĢlemler gibi) hangi
derecede bütünleĢik olacak veya ayrılacaklardır?
Kontrollerin değiĢim yönetimi süreci üzerinde etkisinin ne olacağı:
ERP uygulama modülleri
ERP ana sistemi
DBM
OS
BPR değiĢiklikleri
Diğer ERP dıĢı bağlantılar veya arayüzleri
EriĢim güvenlik politikaları ve standartları nasıldır/nasıl olacaklar ve devam eden yönetim kontrol ve desteğinden kim
sorumlu olacaktır?
ERP sisteminin kabulüne makul güvence sağlamak için hangi süreçler uyarlanacak ve mülkiyetin kullanıcı yönetimine
aktarımının tamamlandığına dair makul güvence sağlanmasına ait hangi süreçler seçilmektedir?
98
G22 ġirketten-MüĢteriye (B2C) E-Ticaret Ġncelemesi
1.
ARKA PLAN
1.1
Standartlarla Bağlantı
1.1.1.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve
yorumuyla desteklenmelidir.‖ Ģeklindedir.
1.2.
1.2.1.
1.2.2.
1.2.3.
Rehberler ile Bağlantı
G14 Uygulama Sistem Gözden Geçirmeleri Rehberi, yol göstericilik sağlar
G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi Klavuzu, yol göstericilik sağlar.
G17 Denetim DıĢı Rollerin BS Denetçisinin Bağımsızlığına Etkileri Klavuzu, yol göstericilik sağlar.
1.3.
1.3.1.
COBIT Bağlantısı
Belirli bir denetim kapsamına uygulanacak en uygun CobIT materyalinin seçimi, belirli CobIT BT süreçlerinin seçimine, CobIT
kontrol hedeflerinin seçimine ve bağlantılı yönetim uygulamalarına dayanır. BS denetçisinin G 14 Uygulama Sistemleri
gözden geçirme ihtiyacını karĢılamak için CobIT‘teki en uygun süreçler seçilmiĢ ve aĢağıda birincil ve ikincil olarak
sınıflandırılmıĢtır. Seçilecek ve uyarlanacak süreçler ve kontrol hedefleri, görevlendirmenin veya iĢ anlaĢmasının belirlediği
kapsama ve Ģartlara göre değiĢebilir.
1.3.3
E-Ticaret ve BT tabanlı iĢler için B2C, CobIT‘Ġn bütün ana süreçleriyle ilgili bütün BT süreçleri-Planlama ve
Organizasyan(PO), Satın Alma ve Uygulama(AI), Sunum ve Destek(DS) ve Ġzleme ve Değerlendirmeyle ilgilidir. Temel BT
süreçleri aĢağıdadır:
















P01 Stratejik BT planı Tanımlamak
P02 BT Mimarisini Tanımlamak
P03 Teknolojik Yönü Tayin Etmek
P09 BT Risklerinin Değerlendirilmesi,
AI2 Uygulama Yazılımlarının Edinilmesi ve GeliĢtirilmesi
AI3 Teknoloji Altyapısını Edinmek ve GeliĢtirmek
AI4 ĠĢletimi Sağlamak ve Kullanmak
AI6 DeğiĢiklikleri Yönetmek
AI7 Çözümleri ve DeğiĢiklikleri Kurmak ve ĠĢletmek
DS1 Hizmet Sunumu Seviyelerini Tanımlamak
DS2 DıĢarıdan Sağlanan Hizmetleri Yönetmek
DS3 Performans ve Kapasiteyi Yönetmek
DS4 Sistemlerin Güvenliğini Sağlamak
DS5 Sistemlerin Güvenliğinin Sağlanması
ME2 Ġç Kontrolün Ġzlenmesi ve Değerlendirilmesi
ME3 Ġç ve DıĢ Gereksinimlerle Uyumu Sağlamak
1.3.3.
B2C ile en ilgili enformasyon kriterleri:
 Birincil. EriĢilebilirlik, uyum, gizlilik, etkinlik ve bütünlük
 Ġkincil: Etkililik ve güvenilirlik
1.4.
1.4.1.
Rehber Amacı
Bu rehberin amacı, Ģirketten-müĢteriye (B2C) e-ticaret faaliyetlerinin ve uygulamalarının incelenmesi sırasında önerilen
uygulamaları tanımlamaktır; bu yüzden ilgili BS Denetim Standartlarına inceleme boyunca göndermeler yapılmıĢtır.
2.
ĠġTEN MÜġTERĠYE E-TĠCARET (B2C)
2.1
2.1.1
Tanım
E-ticaret terimi, farklı kiĢiler tarafından farklı anlamlarda kullanılmaktadır. ISACA, e-ticareti, kurumların müĢterileriyle,
tedarikçilerle ve diğer dıĢ iĢ ortaklarıyla interneti kullanarak elektronik ortamda yürüttükleri iĢ süreci olarak tanımlamaktadır.
Bu yüzden e-ticaret terimi, hem Ģirketten-Ģirkete (B2B) hem Ģirketten-müĢteriye modelleri kapsar, fakat var olan internet
bağlantılı olmayan özel bilgisayar ağlarına dayalı e-ticaret modellerini kapsamaz (EDI, SWIFT gibi).
Bu Rehberin amacı için, ISACA‘nın e-ticaret tanımı aĢağıdaki Ģirketten-müĢteriye e-ticaret tanımına ulaĢmak amacıyla esas
olarak kullanılmıĢtır: ġirketten-müĢteriye e-ticaret, kurumların müĢterileriyle, tedarikçilerle ve diğer dıĢ iĢ ortaklarıyla interneti
kullanarak elektronik ortamda yürüttükleri iĢ süreci olarak tanımlamaktadır.
2.1.2
2.2
2.2.1
ġirketten-müĢteriye E-ticaret Modelleri
Gitgide daha fazla kuruluĢ, iĢlerini Ģirketten-müĢteriye iliĢkilerde internet teknolojisini kullanarak değiĢtirmektedir. Bir kurumda
internet teknolojisinin Ģirketten-müĢteriye iliĢkiler için kullanılma derecesi, kurumun internet kullanımında ne kadar yetkin
olduğuna, müĢterilerine, coğrafi pazar alanında internet kullanımına, kurumun ürün/hizmet türlerine ve internet kullanımının
rekabet avantajı amacıyla kullanılıp kullanılmadığına bağlıdır.
99
G22
ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi(Devamı)
Bu yüzden, Bir kuruluĢ, Ģirketten-müĢteriye e-ticaret modeline aĢağıdaki geniĢ e-ticaret faaliyetlerini içine alarak yönelebilir:








Bilgi (kamu)-Kurum ve kurumun ürünleri hakkındaki bilgileri internette isteyen herkesin eriĢimine sunmak
MüĢteri öz-hizmet (bilgi)-Ürünler/hizmetler ve fiyatlarla ilgili bilgileri kurumun müĢterilerinin eriĢime sunmak
MüĢteri öz-hizmet (ödemeler dıĢındaki iĢlemlerle ilgili)- Bilgileri internette eriĢime açmanın yanında
sipariĢler ve iptalleri de internet yoluyla eriĢime açmak, ancak ödemeler geleneksel yollarla yapılır.
MüĢteri öz-hizmet (ödemeler)-Ödemeler ve fon aktarımları dahil, müĢteri iĢlemlerini internet yoluyla kabul etmek
(bankaların olması durumunda)
MüĢteri raporlama-Hesap durumları ve sipariĢ durumları gibi raporları internet üzerinde müĢterilerin bilgisine sunmak
EtkileĢimli öz-hizmet-Web siteleri yoluyla gönderilen istemlere e-postalar yoluyla etkileĢimli karĢılık vermek
Doğrudan satıĢ-Ürün ve hizmetleri internet yoluyla alıcılara doğrudan satmak
Açık artırma-ürünleri internette açık artırmaya çıkarmak
2.3
ġirketten-MüĢteriye E-ticaret Ġncelemesinde Gereken Özel Odak Noktaları
2.3.1
ġirketten-müĢteriye e-ticaret faaliyetinde iĢ ve bilgi sistemi sıkıca birleĢmiĢtir. Bu sebeple bir Ģirketten-müĢteriye e-ticaret
incelemesi genel olarak BS risklerini olduğu kadar iĢ risklerini de kapsamalıdır.
COBIT bilgi sistemleri tarafından karĢılanması gereken yedi bilgi kıstası belirlemiĢtir. Bu kıstaslarla uyum içinde olmak BS
risklerini azaltmaya yarar ve iĢ risklerini azaltmaya katkıda bulunur. Bunlar:
 Verimlilik
 Etkinlik
 Gizlilik
 Bütünlük
 EriĢebilirlik
 Uyum
 Güvenilirlik
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2.3.7
2.3.8
2.3.9
ġirketten-müĢteriye(B2C) e-ticaret durumunda, kurum tarafından gerçekleĢtirilen geniĢ e-ticaret faaliyetlerine bağlı olarak
(bölüm 2.2.1‘de belirtildiği gibi) bunların etkisi daha büyük olabilir, her durumda daha düĢük olmayacaktır. Bu yüzden,
Ģirketten-müĢteriye bir e-ticaret incelemesi COBIT bilgi kıstaslarının Ģirketten-müĢteriye e-ticaret tarafından nasıl karĢılandığı
bilgisini ve ilgili risklerin nasıl hafifletileceğini belirtmelidir.
Ġnternete bağlı olduğundan dolayı Ģirketten-müĢteriye e-ticaret uygulamaları, internet korsanları, virüsler gibi, ĢirkettenmüĢteriye e-ticaret uygulamalarının gizliliğini, bütünlüğünü ve eriĢilebilirliğini tehlikeye atan kalıtsal dıĢ tehditlere açıktırlar.
Eğer Ģirketten-müĢteriye e-ticaret uygulamaları arka uç sistemlerle bütünleĢtirildilerse bu sistemlerin de etkilenmesi riski
vardır. Kurumun Ģirketten-müĢteriye e-ticaret uygulamalarının bu tür saldırılardan etkilenmesi durumunda kurumun ünü ve
saygınlığı ciddi biçimde zarar görebilir. Bu bağlamda Ģirketten-müĢteriye e-ticaret uygulamalarında bu tür tehditlere karĢı
önlemlerin yeterliği konusuna özel önem vermelidir.
ĠĢlemin inkar edilemez olması, Ģirketten-müĢteriye e-ticaret uygulamalarının vazgeçilmez parçasıdır. Yedi COBIT bilgi
kıstasıyla ilgilidir, bu kıstaslardan birisi de bütünlüktür. ġirketten-müĢteriye e-ticaret uygulamalarının iĢlemler veya ödemeler
içerdiği durumlarda, sonradan ortaya çıkan iĢlem reddi olayının olmamasının sağlanması amacıyla, iletiĢim sırasında
kaynakların güvenilirliği ve bütünlük sağlanmak durumundadır. Böyle durumlarda Ģirketten-müĢteriye e-ticaret
uygulamalarının incelenmesi, Ģirketten-müĢteriye inkar edilemezliğin sağlanmasında e-ticaret uygulamalarının etkinliğini
kapsamalıdır.
ġirketten-müĢteriye e-ticaret uygulamaları genel olarak müĢteriler hakkında ayrıntıları elde etmeyi içerir. Bu ayrıntıların,
gizliliği sağlanmalıdır. Diğer bir deyiĢle toplanan kiĢisel bilgiler ayrıntılar, sadece kastedilen amaçlar, her bir sözleĢmenin
doğrultusunda kullanılmalıdır. Bu konuda çeĢitli ülkelerde, farklı hukuk uygulamaları vardır. Bu bağlamda Ģirketten-müĢteriye
e-ticaret uygulamaları incelemeleri her ülkede hukuka uymayı göz ardı etmemelidir.
Uygulama denetim izleri Ģirketten-müĢteriye e-ticaret uygulamaları ortamında, basılı izler olmadığından dolayı daha
önemlidir. Bu bağlamda Ģirketten-müĢteriye e-ticaret uygulamalarının incelemeleri, denetim izlerinin yeterliğini ve süreci
kapsamalıdır. Bu, iĢlemlerin(inkar edilemezlik dahil) yetkilendirme ve bütünlüğünü sağlanması noktasından önemlidir.
Diğer iĢ kanalları karĢısında, Ģirketten-müĢteriye e-ticaret uygulamaları uygulamanın elde edilebilirliğine ve internet eriĢimine
bağlıdır. Bu bağlamda, uygun kapasite planlama usulleri, fazla üretim ve felaket sonrası kurtarma usulleri seçenekleri hem
sistemde hem iletiĢim bağlantısında bulunmalıdır. ġirketten-müĢteriye e-ticaret uygulamalarının elde edilebilirlik yönlerini
değerlendirirken bunlara gereken özen gösterilmelidir.
ġirketten-müĢteriye e-ticaret uygulamaları ve ilgili uygulamalar (teslimat gibi el süreci ve elektronik olmayan ödemelerin
makbuzları gibi) arasındaki veri bütünlüğü önemli bir etkendir. Böyle bir bütünlüğü sağlayacak uygulama ve kiĢisel
kontrollerin yeterliği Ģirketten-müĢteriye e-ticaret uygulamaları incelemesinin vazgeçilmez parçası olmalıdır.
ġirketten-müĢteriye e-ticaret uygulamaları, çevrimiçi ödeme alınmasını gerektiriyor ise; ödemeler için yetki almaya ve
Ģartların usulüne uygun Ģekilde olmasına yönelik uygun süreçler bulunmalıdır. Böyle durumlarda kontrollerin uygunluğu ve
yeterliği Ģirketten-müĢteriye e-ticaret uygulamalarının incelenmesinin bir parçası olarak değerlendirilmelidir.
100
G22
ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi(Devamı)
2.3.10
Oldukça sıklıkla Ģirketten-müĢteriye e-ticaret uygulamaları uygulama geliĢimi, web sitesinin ve ilgili veritabanlarının yönetimi
gibi üçüncü taraf hizmet sağlayıcıların katılımını gerektirir. Böyle durumlarda, kontrollerin ve uygun servis seviyesinin
sağlanması ve Ģirket ve müĢterilerin bilgilerinin korunmasıyla ilgili sözleĢme hükümlerinin uygunluğu ve yeterliliği, B2C eticaret gözden geçirmelerinin bir parçası olarak değerlendirilmesi gereklidir.
E-ticaret faaliyetlerin gelen verinin yönetimi, kaydı, saklanması ve açığa çıkması, veriler elektronik olarak çıkmıyor ve yok
edilmez ise çok büyük bir sorun oluĢturur.
Birçok B2C, kredi kartı ve diğer ödeme Ģekillerini gerektirir ve bunları sağlayıcılar veya iĢleyicilerce oluĢturulan standartlar
tabidir. Bu standartlara uyum ve farkındalık, B2C e-ticareti sağlandığında önemlidir.
2.3.11
2.3.12
3.
YÖNETMELĠK
3.1
3.1.1
Zorunluluklar
BS Denetçisi, bir Ģirketten-müĢteriye e-ticaret uygulamaları incelemesine baĢlamadan önce zorunluluklarla ilgili, BS
Denetçisinin kendi değerlerine dayanarak veya kurumun vereceği yönlendirmelerde gereken makul güvenceyi sağlamalıdır.
BS Denetçisi, gözden geçirme kurum tarafından baĢlatılmıĢsa kurumun gereken yetkiye sahip olduğuna dair makul
güvenceyi sağlamalıdır..
4.
BAĞIMSIZLIK
4.1
4.1.1
Mesleki Tarafsızlık
BS Denetçisi, görevi kabul etmeden önce, kendi ilgi alanlarının Ģirketten-müĢteriye e-ticaret uygulamalarında herhangi bir
biçimde nesnelliğe zarar vermeyeceğine dair makul güvence sağlamalıdır. Herhangi bir muhtemel çıkar çatıĢması
durumunda, konu açıkça kuruma bildirilmesi, kurumun çatıĢmanın farkındalığı konusunda yazılı bir belgeyi görevi kabul
etmeden önce sağlamalıdır..
BS Denetçisinin Ģirketten-müĢteriye e-ticaret uygulamalarında denetim dıĢı rollerinin bulunması durumunda, BS Denetçisi
G17 Denetim DıĢı Rollerin BS Denetçisinin Bağımsızlığına Etkisi rehberini göz önünde bulundurmalıdır.
4.1.2
5.
YETERLĠLĠK
5.1
5.1.1
Beceriler ve Bilgi
BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulaması incelemesi için gereken iĢ bilgisiyle ilgili makul güvence sağlamalıdır.
ġirketten-müĢteriye e-ticaret uygulaması tarafından verilen iĢin anlaĢılması, Ģirketten-müĢteriye e-ticaret
uygulamasının/faaliyetlerinin değerlendirilmesi için önemlidir.
BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamasının gözden geçirmesini yapmak için ilgili teknik beceri ve bilgiye eriĢim
için makul güvence sağlamalıdır. Bu tür gözden geçirmeler, bütün yönlerini değerlendirmek için, kullanılan Ģifreleme
teknolojileri, ağ güvenlik mimarisi ı ve güvenlik duvarları, sisteme zorla sızma tespiti ve virüs korunma gibi güvenlik
teknolojileri ve teknik bilgiler gerektirir. BS Denetçisi, bu yönleri incelemek için bu konularda yeterli bilgiye sahip olmalıdır.
Uzman girdisi gerekli olduğu durumlarda, dıĢ mesleki kaynaklardan uygun girdiler elde edilmelidir. DıĢ uzman kaynaklarının
kullanılacağı bilgisi kuruma yazılı olarak verilmelidir.
5.1.2
6.
PLANLAMA
6.1
6.1.1
Yüksek Seviye Risk Değerlendirmesi
BS Denetçisi, genel olarak endüstriyle ilgili bilgi toplamalıdır (çünkü Ģirketten-müĢteriye e-ticaret uygulaması riskleri
endüstriden endüstriye değiĢmektedir), ayrıca kurumun Ģirketten-müĢteriye e-ticaret uygulama amaçlarıyla ilgili bilgi ve bu
amaçlara ulaĢmak için kullanılan strateji konusunda bilgi, Ģirketten-müĢteriye e-ticaret uygulamasının kapsamı ile ilgili bilgi,
sistem kullanımının sınırları ve Ģirketten-müĢteriye e-ticaret uygulamasının çözümü için kullanılan iĢlemenin geliĢtirilmesi
hakkında bilgi toplamalıdır. Böylece, toplanan bilgi yüksek seviyede iĢ risklerinin ve COBIT bilgi kıstaslarının analizinin ve bu
belgenin 2.3‘üncü bölümlerinde anlatılan maddelerin analizinin yapılmasına yardımcı olacaktır. Bu yüksek seviyede risk
analizi, incelemenin kapsam ve içeriğini belirlemede yardımcı olacaktır.
6.2
6.2.1
Ġncelemenin Kapsam ve Amaçları
BS Denetçisi, kurumla iĢbirliği içerisinde olmak üzere Ģirketten-müĢteriye e-ticaret uygulaması incelemesinin hedef ve
kapsamını açıkça belirlemelidir. Ġncelemeye dahil edilecek noktalar, kapsamın bir bölümü olarak açıkça belirtilmelidir. 6.1.1
bölümünde değinilen yüksek seviye risk analizi, hangi yönlerin incelenmesi gerektiğini ve incelemenin sınır ve derinliğini
gösterir.
Ġncelemenin amacı için, çözümde yer alanlar tanımlanmalı ve bu tanım üzerinde paydaĢlar kurumla görüĢ birliğine
varılmalıdır.
6.2.2
6.3
6.3.1
YaklaĢım
BS Denetçisi, gözden geçirmenin kapsam ve hedeflerini tarafsız ve profesyonel bir biçimde yapılabilmesi için yaklaĢımı
biçimlendirmelidir. Ġzlenen yaklaĢım, gözden geçirmenin uygulama öncesi ya da sonrası gözden geçirme olmasına bağlı
olmalıdır. YaklaĢım, düzgün bir biçimde belgelenmelidir. Ne zaman ve nerede dıĢ uzman girdileri kullanıldığı da yaklaĢımın
bir parçası olarak belirtilmelidir.
6.4
6.4.1
Plan
BS Denetçisi, kurumun uygulamalarına bağlı olarak plan ve yaklaĢım için kurumun onayını sağlayabilir..
101
G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi
7.
ĠġTEN-MÜġTERĠYE E-TĠCARET ĠNCELEMESĠNĠN GERÇEKLEġTĠRĠLMESĠ
7.1
7.1.1
Genel
Bu bölüm Ģirketten-müĢteriye e-ticaret incelemesi sırasında ele alınması gereken geniĢ yelpazeye yayılmıĢ konuları
kapsamaktadır. Belli bir Ģirketten-müĢteriye e-ticaret incelemesi için, inceleme ile ilgili konular bu geniĢ yelpazeyle ve
incelemenin öngörülen kapsam ve hedeflerine bağlı olarak tanımlanmalıdır.
ġirketten-müĢteriye e-ticaret uygulaması, her tanımlanan yaklaĢım baĢına (yeniden iyileĢtirmelerle birlikte) öngörülen edilen
inceleme hedefleri gerçekleĢtirilene kadar yapılmalıdır.
Genel olarak, mevcut belgelerin incelenmesi (iĢ, sistem belgelendirmesi, sözleĢmeler, hizmet seviye anlaĢmaları ve kayıt
kütükleri), ortaklarla belli konulardaki tartıĢmalar, Ģirketten-müĢteriye e-ticaretin kullanılması ve gözlemleme gibi konular veri
toplanmalı, analiz edilmeli ve yorumlamak amacıyla kullanılmalıdırlar. BS Denetçisi, uygun olan yerlerde testler yapmalı
ve/veya üretim ortamındaki önemli süreci, bunların amaçlar doğrultusunda çalıĢıp çalıĢmadığını doğrulamak amacıyla
testlidir (satın alma testi veya e-ticaret sistemini kullanılarak verilen test sipariĢleri ve nüfuz etme test tekniğini kullanarak
güvenlik mekanizmalarının testi).
Kurumla anlaĢıldığı ve gerekli olduğu yerlerde, dıĢ uzman girdileri verilerin toplanması, analizi ve yorumlanması amacıyla
kullanılabilir.
Sonuçlar ve öneriler, verilerin nesnel bir analiz ve yoruma dayalı olarak yapılmalıdır.
Uygun denetim izleri elde tutulmalı, toplanan verilerin, analiz yapılmalı, sonuçlara varılmalı ve düzeltici hareketlerin de
önerilmesi gerekir.
7.1.2
7.1.3
7.1.4
7.1.5
7.1.6
7.2
7.2.1
7.2.2
7.2.3
ĠĢle Ġlgili Analizler
BS Denetçisi, e-ticaret hedeflerini, stratejiyi ve iĢ modelini eleĢtirel bir biçimde değerlendirmelidir. Kurumun iĢinin göreceli
konumunu değerlendirirken var olan ve ortaya çıkan rekabet de değerlendirilmelidir. Bu, amaç ve stratejilerin uygunluğunu
değerlendirirken ve Ģirketten-müĢteriye e-ticaret uygulamasının bu hedefleri ve stratejileri gerçekleĢtirmede etkinliğini ve
verimliliğini değerlendirirken gereklidir.
BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulamasının kendi baĢına yeni bir faaliyet mi ya da mevcut iĢ hattına yeni bir
kanal ilave mi ve gözden geçirilen B2C e-ticaret faaliyetlerinin kurumun baĢarısı ve finansal devamlılığına etkisinin olup
olmadığını, değerlendirmelidir.. ġirketten-müĢteriye e-ticaret uygulamasına olan bağımlılık ne kadar yüksekse, risklerin de
etkileri o derece önemli olacaktır.
BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamasının faydalarının maliyetinin nesnel biçimde yansıtılmıĢ olup olmadığına
dair inceleme yapmalıdır. Ġnternet kullanıcılarının artan büyük sayısını düĢünerek zaman zaman iĢ potansiyeli ve hacmi
aslında ulaĢılabilecek olandan çok daha ötede yansıtılır. Eğer BS Denetçisi, temeldeki konularla ilgili endiĢelere sahipse, bu
endiĢeler yönetimle görüĢülerek açıklığa kavuĢturulmalıdır.
7.3
Ayrıntılı Risk Değerlendirmesi
7.3.1
BS Denetçisi, önemli süreçleri haritalandırmalıdır-Otomatik ve Manuel süreçler etrafındaki uygulamalar-B2C e-ticaret
uygulamalarıyla ilgili, bunların hazır olmaması durumunda.
BS Denetçisi daha sonra, muhtemel riskleri değerlendirmelidir.-ĠĢ ve BS riskleri gibi-Uygun süreçleri ve bunların muhtemel
etkilerini, bu riskleri azaltacak/azaltabilecek maddelerle birlikte belgelendirmelidir. Geri kalan kalıntı risklerin, önemi de
değerlendirilmelidir.
BS Denetçisi, risklerin kritik olma durumuna bağlı olarak incelenmesi gereken konuları ve bu incelemenin derecesini
belirlemelidir.
BS denetçisi, tanımlanan riskleri azaltmak için mevcut kontrolleri tanımlamalıdır. Çok sayıda kontrol riskleri azaltmak için
tanımlanmıĢsa, kontrollerin etkililiğini sıralamak için derecelendirmelidir. Temel yada anahtar kontroller, ikincil kontrollerden
daha önce test edilmelidir.
7.3.2
7.3.3
7.3.4
7.4
7.4.1
7.4.2
7.4.3
7.5
7.5.1
7.5.2
7.6
7.6.1
7.6.2
GeliĢtirme Süreci
BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamasında uygun kontrollerin yapılandırılmıĢ olup olmadığını belirlemek için
izlenen geliĢtirme sürecinin uygunluğunu incelemelidir.
ġirketten-müĢteriye e-ticaret uygulamasını geliĢtiren/sürdüren takımın yetenekleri ve kullanılan araç gereçler, yeterliliklerinin
belirlenmesi ve sağlanması amacıyla incelenmelidir.
BS Denetçisi, bu bağlamda G23 Sistem GeliĢtirme YaĢam Döngüsü Gözden Geçirme Gözden Geçirmeleri Rehberini göz
önünde bulundurmalıdır.
DeğiĢiklik Yönetimi Süreci
ġirketten-müĢteriye e-ticaret uygulamasında yapılan kontrolsüz değiĢiklikler, planlanmamıĢ kesintilere yol açabilir ve veri ve
iĢleyiĢin bütünlüğünü etkileyebilirler. BS Denetçisi, bu bağlamda, Ģirketten-müĢteriye e-ticaret uygulamasının kontrollü
değiĢiklikler sağlamada yeterli olup olmadığını belirlemek amacıyla değiĢiklik yönetimi sürecinin uygunluğunu incelemelidir.
BS Denetçisi, bunu yaparken de, sürecin amaçlarına uygun çalıĢıp çalıĢmadıklarından emin olmak amacıyla, değiĢiklik kütük
kayıtlarını ve etkilenen gerçek değiĢiklikleri incelemelidir.
BS Denetçisi, geliĢtirme, test, düzenleme ve üretim çevresinin değiĢikliklerden oluĢan riskleri azaltmak için yeterince ayrılıp
ayrılmadığını doğrulamalıdır. Bu bakıĢ açısıyla, her türlü yetersizliğin etkilerinin değerlendirilmesi gereklidir.
Ġçerik Yönetimi Süreci
ġirketten-müĢteriye e-ticaret web sitelerinde görülen içerikler -sadece bilgi verenler ve iĢlemlere vurgu yapanlar da
dahil- dil ve sunum uygunluğu, bilgilerin doğruluğu, yayınlanan verilerin onaylarının sağlanması gibi amaçlarla kontrollü bir
içerik yönetim süreci yoluyla yayınlanmalıdır (özellikle ürünlerle, hizmetlerle, terimlerle ve Ģartlarla ilgili olanlar). BS Denetçisi,
süreçlerdeki kontrollerin yeterliğini ve uyumluluğunu da incelemelidir.
BS Denetçisi, ana içeriklerle ilgili(SözleĢmeler, Ģartlar ve fiyat) verinin bütünlüğünü ve doğruluğunu sağlamak için yeterli
denetim kaydı tutulup korunup korunmadığı ve gözden geçirilip geçirilmediğini doğrulamalıdır.
102
G22
ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi
7.6.3
BS Denetçisi, BS Denetçisi ġirketten-müĢteriye e-ticaret uygulamasının sözleĢmesi ve Ģartlarının, sitede kurumsal
yayınlamanın gizlilik politikası gibi, yasal uygunluk ve sözleĢme korumasına yeterli dikkati çektiğini doğrulamalı, hukuk
uzmanlarınca incelendiğini doğrulamalıdır.
7.7
7.7.1
Tanımlama ve Doğrulama
ġirketten- müĢteriye e-ticaret uygulaması tarafından izin verilen e-ticaret uygulamalarına bağlı olarak -özellikle
iĢlemler ve ödemelerin iĢlendiği yerlerde- kullanıcı, reddedilmeleri önlemek ve gizliliği korumak amacıyla, tanımlanmalı ve
doğrulanmalıdır. BS Denetçisi, kullanılan kontrollerin/mekanizmaların/teknolojilerin (kimlik ve Ģifreler, dijital sertifikalar ve
dijital imzalar gibi) Ģirketten-müĢteriye e-ticaret uygulamasıyla uyumlu olup olmadıklarını değerlendirilmelidir.
7.8
7.8.1
Veri Doğrulama ve Yetkilendirmeler
BS Denetçisi, eğer Ģirketten-müĢteriye e-ticaret uygulaması kullanıcılardan iĢlemler ve/veya bilgiler yoluyla veri kabul
ediyorsa, girilen bu verilerin doğruluğunu, uygunluğunu ve bu verilerin doğrulamasının gerçekleĢtirilmesini sağlayan
uygulamadaki doğrulamaların yeterliliğini doğrulamalıdır..
BS Denetçisi, eğer Ģirketten-müĢteriye e-ticaret uygulaması elektronik ödeme (kredi kartları gibi) kabul ediyorsa yeterli
onaylama iĢleminin olup olmadığını ve ödeme yetkilendirme iĢlemlerinin doğruluğunu ve ödemelerin gerçek fiĢlerinin bulunup
bulunmadığını incelemelidir.
7.8.2
7.9
7.9.1
7.9.2
ĠletiĢim Kontrolleri
BS Denetçisi, ġirketten-müĢteriye e-ticaret uygulamasının iĢlemler ve ödemenin yapılması, aslında gizli olan kiĢisel verileri
kabul edip görüntülediği durumlarda uygun bir Ģifreleme teknolojisinin(IPsec ve güvenli soket katmanı) kullanılıp
kullanılmadığını doğrulamalıdır..
BS Denetçisi, uygun ve gerekli olan durumlarda ağ içerisindeki iletiĢimin sanal özel ağ (VPN) ve ilgili kripto kullanılarak
güvenli yapıldığından emin olmalıdır.
7.10
7.10.1
ĠĢleme Kontrolleri
BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamalarında iĢlemenin bütünlük ve doğruluğunu sağlayacak yeterli uygulama
kontrollerinin bulunduğunu doğrulamalıdır..
7.11
7.11.1
Arka Planda ÇalıĢan Süreçler ve Uygulamaların Bütünlüğü
ġirketten-müĢteriye e-ticaret uygulamalarının bazıları, sipariĢlerin yapılması, para makbuzu ve iĢlemler için makbuz gibi
görevleri yerine getiren, veritabanı gibi geri planda çalıĢan programlar gerektirirler. Bazıları bağlantılı ve bazıları el süreciyle
gerçekleĢtirilirken, bazı durumlarda Ģirketten-müĢteriye e-ticaret uygulamasının diğer bazı uygulamalarla bütünleĢtirilmesi
gerekebilir. BS Denetçisi, bu gibi durumlarda, el süreci dahil-orijinal veri bütünlüğünü sağlayacak yeterli kontrollerin bulunup
bulunmadığını doğrulamalıdır..
7.12
7.12.1
Veri Depolama Bütünlüğü
Herhangi bir Ģirketten-müĢteriye e-ticaret uygulamasının arkasında, bütünlüğü vazgeçilmez olan bir veritabanı vardır. BS
Denetçisi, veritabanı üzerindeki kontrolleri, kasıtlı veya kasıtsız zarar vermeleri, veri değiĢtirilmesini vb önlemek amacıyla
yeterli kontrollerin olup olmadığını belirlemek için değerlendirmelidir. BS Denetçisi, bu bağlamda veritabanına giriĢ
ayrıcalıklarını ve sisteme eriĢim giriĢ kayıtlarını incelemelidir.
BS Denetçisi, ayrıca veri bütünlüğünün ve gizliliğinin korunduğundan emin olmak için arĢivlenmiĢ veriler üzerindeki kontrolleri
de incelemelidir.
7.12.2
7.13
7.13.1
7.13.2
7.14
7.14.1
Denetim Ġzleri ve Ġncelenmeleri
Önceden de belirtildiği üzere, basılı kayıtların olmadığı durumlarda, otomasyonlu denetim kayıtlarının rolü Ģirketten-müĢteriye
e-ticaret uygulamalarında önemlidir. BS Denetçisi, ödemelerle ilgili iĢlemler, ana veriler üzerinde yapılan değiĢiklikler fiyatlar,
oranlar ve hareketler gibi ve yönetim ayrıcalığına sahip kiĢiler tarafından yapılan değiĢiklikler gibi bunların yeterliliğini
incelemelidir.
Denetim kayıtlarının varlığı, tek baĢına yeterli değildir. Denetim kayıtlarını incelemek ve iĢlemlerin geçerli ve yetkili bir
biçimde yapıldıklarını onaylamak için süreçler bulunmalıdır. BS Denetçisi, bu bağlamda bu anlamdaki denetim kanıtlarının
gözden geçirildiğini ve onaylandığının kanıtlarını aramalıdır.
DıĢ BS Tehditlerine KarĢı Koruma
BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulamalarına karĢı dıĢarıdan BS tehditlerini kurum ve iĢin doğasını da dikkate
alarak değerlendirmelidir.. DıĢ tehditler, hizmet vermeyi reddetme, verilere yetkisiz giriĢ ve bilgisayar donanımının yetkisiz
kullanımını içermelidir. Bunlar değiĢik kaynaklardan ortaya çıkabilirler (bilgisayar korsanları, rakipler, yabancı hükümetler ve
teröristler gibi). Kurumun iĢinin özellikleri (rekabet yoğunluğu, pazar payı, doğası, zamanlama ve teknoloji kullanım sınırları
ve yenilikçi/stratejik ürünler ve/veya hizmetler gibi) bu tür tehditlerin muhtemel kaynaklarını belirlemede kullanılmalıdır. Bu
tehditlerle ilgili muhtemel kayıplar, iĢin Ģirketten-müĢteriye e-ticaret uygulamalarına bağımlılığıyla yakından ilgilidir.
103
G22
ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi
7.14.2
BS Denetçisi, dıĢ tehditlere karĢı koymak için alınan koruyucu önlemlerin riskle uyumlu olup olmadığını değerlendirmelidir.
BS Denetçisi, bu süreçte aĢağıdaki noktaları incelemelidir:
 Protokollerin seçimini kapsayan uygulamanın teknik mimarisi
 Uygulamanın güvenlik mimarisi
 Virüs korunma mekanizmaları
 Güvenlik duvarı uygulaması: Güvenlik duvarı çözümünün uygunluğu, yeri, politikaları, güvenlik duvarı bağlantıları ve
güvenlik duvarını atlatabilecek her türlü dıĢ bağlantılar
 Saldırı tespit mekanizmaları
 Ġlgili kayıtların varlığı ve bunların yetkin personel tarafından süregelen incelemeleri
 Politikalar, usuller ve ilgili yapılara iliĢkin uyumluluk onayları
7.15
7.15.1
KiĢisel Bilginin Gizliliği Düzenlemeleri ve En Ġyi Uygulamalarla Uyumluluk
BS Denetçisi, yasaların dayattığı ilgili kiĢisel bilgi gizliliği gereksinimleri ve bu gizlilikle ilgili en iyi uygulamaların kuruma
uyumlu olup olmadığını değerlendirmelidir. BS Denetçisi, daha önce de belirtildiği gibi kiĢisel bilginin gizliliği politikalarının ve
uygulamaların web sitesinde uygun bir biçimde görüntülendiğini doğrulamalıdır.
7.16
7.16.1
ġirketten-MüĢteriye E-ticaret Uygulamaları ve ĠĢ Sürekliliğinin Olması
BS Denetçisi, Ģirketten-müĢteriye e-ticaretin internetin var olmasına bağlı olmasından dolayı uygun kapasite planlama
sürecinin, yedekte hazır bulundurma ve felaket kurtarma seçeneklerinin, site dıĢı depolama, ortam rotasyonu ve acil durum
kurtarma usullerinin sistemde ve iletiĢim bağlantısında bulunup bulunmadığını değerlendirmelidir.
BS Denetçisi, uygun olan yerlerde bir kesinti durumunda hızlı kurtarma ve iĢ sürekliliğini sağlama ve kurtarma ayarlamalarını
otomasyona bağlanmıĢ olan ve diğer manuel sürecinin ıĢığında incelemelidir.
7.16.2
7.17
Verimlilik ve Etkinlik
7.17.1
BS Denetçisi Ģirketten-müĢteriye e-ticaret uygulamalarının verimliliğini hedefler doğrultusunda değerlendirmelidir. ĠĢlem
hacmi, iĢin değeri, müĢteri/beklenti/ziyaretçi sayısı, iĢin hacmi ve değeri ve müĢterilerin yıpranması gibi konular sistemin
verimliliğinin değerlendirilmesinde yardımcı olabilirler.
BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamalarının yeteri kadar maliyet azaltıcı olup olmadıklarını belirlemek için
tasarlanmıĢ olan fayda ve maliyetlerle gerçek maliyet ve faydaları karĢılaĢtırmalıdır. Bu konuda süreç performansı, müĢteri
geri bildirimleri ve uygulamanın kullanım kolaylığı da B2B e-ticaret uygulamalarının etkinliğinin değerlendirmesine yardımcı
olabilir.
BS Denetçisi, Ģirketten-müĢteriye e-ticaret uygulamalarının verimliliğinin ve etkinliğinin sürekli bir temelde izlenmesini
sağlayan mekanizmaların uygunluğunu doğrulamalıdır. Bu konuda hataları ve yolsuzlukları önlemek için tespit ve istisnaların
raporlaması sürecide dahil edilmelidir.
7.17.2
7.17.3
7.18
7.18.1
7.18.2
7.18.3
7.18.4
Üçüncü Taraf Hizmetleri
BS Denetçisi, Ģirketten-müĢteriye e-ticaret çözümünün, internet servis sağlayıcı, sertifikalandırma kurumu, kayıt kurumu,
web-hosting kurumu gibi üçüncü taraf hizmet sağlayıcılara bağlı olduğu durumlarda güvenlik usullerinin uygun ve yeterli
olduklarından emin olmalıdır.
BS Denetçisi, bu tür hizmet sağlayıcıların kullanıldığı durumlarda ilgili sözleĢmeleri ve hizmet seviye anlaĢmalarını ve
kurumun çıkarlarının ve amaçlarının gözetilip gözetilmediğini gösteren raporları incelemelidir.
BS Denetçisi, bu bağlamda G16 Kurumsal BT kontrollerinde Üçüncü Tarafların Etkisi Rehberini göz önünde bulundurmalıdır.
BS Denetçisi, üçüncü tarafın Ģirketten-müĢteriye e-ticaret uygulamaları sertifikasyonunda kullanıldığı durumlarda, bilgilerin
nasıl toplandığına ve kullanıldığına gereken özeni göstermelidir. (Örnek: Webtrust, betterbussiness).
7.19
7.19.1
Ġnkar Edilemezlik
BS Denetçisi, Ģirketten-müĢteriye e-ticaret çözümlerinin iĢlemlerin ve ödemelerin sürecini gerektirdiği durumlarda, önceden
belirtilen ilgili kontrolleri doğrulama, iletiĢim, iĢleme ve inkar edilemezlik açılardan değerlendirmelidir.
8
RAPORLAMA
8.1
8.1.1
Rapor Ġçeriği
ġirketten-müĢteriye e-ticaret incelemeleri konusundaki rapor, kapsamının içeriğine bağlı olarak aĢağıdaki noktaları
içermelidir:



Ġzlenen kapsam, amaç, yöntem ve varsayımlar

COBIT BS kıstaslarıyla uyumun sınırı ve Ģirketten-müĢteriye e-ticaret uygulamalarına özel kıstaslar (inkar edilemezlik
gibi) ve herhangi bir uyumsuzluğun etkileri

Elde edilen deneyimlerin gelecekteki benzer çözümlerin geliĢtirilmesi amacıyla nasıl kullanılabileceği önerileri
Zafiyetlerin muhtemel etkileri ve güçlü ve zayıf olan baĢlıca noktaların ıĢığında çözümün toptan değerlendirilmesi
Çözümü geliĢtirmek ve önemli zafiyetlerin üstesinden gelmek için öneriler
104
G22 ġirketten-müĢteriye (B2C) E-Ticaret Ġncelemesi
8.1.2
Gözlemler ve öneriler, paydaĢlar ve kurumla birlikte rapor bitirilmeden önce onaylanmalıdır.
9
YÜRÜRLÜK TARĠHĠ
9.1
Bu rehber bütün BS Denetimlerinde 1 Ağustos 2003 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinde bulunabilir: www.isaca.org/glossary.
EK BÖLÜM
Kaynaklar

ISACA, E-ticaret Güvenlik Dizileri Yayınları, 2000-2002

Avustralya Muhasebe AraĢtırma Vakfı, AGS1056 E-ticaret: Denetim Risk Değerlendirmeleri ve Kontrol Varsayımları,,Denetim
Rehberi Tutanağı,
105
G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirilmesi
1.
1.1
1.1.1
1.1.2
1.1.3
1.1.4
1.2
1.2.1
1.2.2
ARKA PLAN
Standartlarla Bağlantı
S6 Denetim ĠĢinin Yürütülmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini
baĢarmak için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu
kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir.
G14 Uygulama Sistemleri Ġncelemeleri Rehberi, yol göstericilik sağlar
G17 BS Denetçisinin Bağımsızlığında Denetim-dıĢı Rollerin Etkileri Rehberi, yol göstericilik sağlar
G20 Raporlama Rehberi, yol göstericilik sağlar
COBIT Bağlantısı
COBIT Çerçevesi ―Kurumun, bütün varlıklarını korumak yönetimin sorumluluğudur. Yönetim, bu sorumluğu yerine
getirmek, beklentileri karĢılamak için, yönetim gerekli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder.
COBIT Yönetim Rehberleri, sürekli öz değerlendirme için yönetim odaklı bir çerçeve ve kontrol öz değerlendirme
aĢağıdakilere konulara odaklanmasını sağlar:




1.2.3
1.2.4
1.2.5
1.2.6
1.3
1.3.1
Performans ölçümü-ĠĢ gereksinimini destekleyen BT iĢlevi, ne kadar iyidir?
BT kontrol profili-Hangi BT süreçleri önemlidir? Hangileri, kontrol için kritik baĢarı unsurudur?
Farkındalık-Neler, hedefleri baĢaramama riskleridir?
KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir.
Yönetim Rehberleri, iĢ sözleĢmesinde BT performansının değerlendirilmesini sağlayan örnek ölçütler sağlar. Ana hedef
göstergeleri, BT sürecinin çıktılarını tanımlar ve ölçerler ve ana performans göstergeleri, süreç sağlayıcılarını ölçerek sürecin
ne derecede iyi iĢlediğini değerlendirirler. Olgunluk modelleri ve olgunluk özellikleri, kontrol boĢlukları ve iyileĢtirme
stratejilerini tanımlamada, kapasite değerlendirmesi ve karĢılaĢtırma sağlar.
Yönetim Rehberleri, öz değerlendirme atölye çalıĢmalarını desteklemede kullanılabilir ve BT yönetiĢiminin bir parçası olarak
yönetimin sürekli izleme ve geliĢtirme sürecini desteklemede de kullanılabilirler.
COBIT, bilgi yönetim çevresine ayrıntılı kontrol seti ve kontrol teknikleri sağlar. Özel denetim kapsamına uygulanacak en
uygun CobIT materyalinin seçimi, COBIT BT sürecinin seçimine ve COBIT bilgi kıstaslarına bağlıdır.
Özel hedefler için ekteki belge CobIT‘le iliĢkiyi gösterir yada bu rehberde vurgulanan alanların gözden geçirilmesinde
CobIT süreçleri dikkate alınmalıdır.
1.3.2
Rehber Gereksinimi
Kurumlar, iĢ faaliyetlerini desteklemek uygulama sistemleri kullanırlar. Uygulama sisteminin tanımlanması, edinilmesi ve
uygulanması süreci, uygulama sistemlerinin iĢletilmesini gerçekleĢtirmede ihtiyaçları tanımlamayan ve Sistem GeliĢtirme
YaĢam Döngüsü(SGYD) olarak adlandırılan değiĢik aĢamalar gerektirir.
Bu rehber, BS Denetçilerine SGYD incelemesi yaparken yol göstericilik yapması amacıyla hazırlanmıĢtır.
2.
SĠSTEM GELĠġTĠRME YAġAM DÖNGÜSÜ (SDLC)
2.1
2.1.1
Tanım
Sistem geliĢtirme yaĢam döngüsü, çok sayıda aĢamaları gerektiren (Yapılabilirliğin oluĢturulmasından uygulama sonrasını
gözden geçirmesine kadar) ve yönetimin ihtiyaç duyduğu özellikte geliĢtirme, satın alma veya ikisinin birleĢimiyle uygulama
sistemleri dönüĢtürmekte kullanılan bir süreçtir.
2.2
2.2.1
SGYD‘yi Etkileyen Faktörler
Bir uygulama sistemi için SGYD, seçilen edinme/geliĢtirme türüne bağlıdır.. Uygulama sistemleri, aĢağıdaki farklı Ģekillerde
edinilmiĢ/geliĢtirilmiĢ olabilirler:




2.2.2
2.2.3
Ġç kaynakları kullanarak tasarımın geliĢtirilmesi
Tamamen veya kısmen dıĢ kaynaklar kullanılarak tasarımın geliĢtirilmesi (kurum içinde veya kurum dıĢında bir yerde)
Yazılım satıcıları, herhangi bir tasarım olmadan olduğu gibi kullanımı için paketler.
Yazılım satıcıları, özel ihtiyaçları karĢılamak için tasarlanıp paketler.
Bazen, büyük karmaĢık uygulamalar yukarıdakilerin bir bileĢkesini gerektirebilir.
Bazı kurumlar, özel SGYD yöntemleri ve süreçlerini yada özel tasarlanmıĢ yada satıcı tarafından geliĢtirilmiĢ olarak
kullanırlar. Bunlar, genellikle özel uygulama sistemlerini isteğe uygun olarak tasarlamada kullanılan farklı türde edinme
araçlarına sahip standart süreçler olarak tanımlanır. Bunlar, SGYD‘yi yönetmek amacıyla uygun araçlarla desteklenebilirler.
Bu durumda, SGLC yönteme/araca bağlı olacaktır.
SGYD bir uygulama sistemini paket olarak satın alınmaktansa geliĢtirildiği durumlarda Ģelale yöntemiyle geliĢtirme, prototip,
hızlı uygulama geliĢimi, CASE ve nesne tabanlı geliĢtirme gibi kullanılan geliĢtirme yöntemine bağlı olacaktır().
106
G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirilmesi (Devamı)
2.3
2.3.1
SDLC Riskleri
Bir uygulama sisteminin SGYD‘si sırasında aĢağıda sıralandığı gibi farklı risklerle karĢılaĢılabilir:






















Uygulama sistemi için uygunsuz SGYD‘nin uyarlanması
SGYD sürecinde kontrollerin yetersizliği
Uygulama sisteminin kullanıcının gereksinimlerinin ve hedeflerinin karĢılanamaması
Yetersiz paydaĢ katılımı (iç denetim dahil)
Yönetim desteği eksikliği
Yetersiz proje yönetimi
Uygun olmayan teknoloji ve mimari
Kapsam değiĢiklikleri
Zaman aĢımları
Maliyet aĢımları
Uygulama sisteminin kalite yetersizliği
Uygulama sisteminde güvenlik ve kontrollerine dikkatin yetersizliği(Doğrulama ve denetim izlerini kapsar)
Performans kıstaslarının karĢılanmamıĢ olması
Uygun olmayan dıĢ kaynak/personel yönetim Ģekli
Personel yeteneklerinin yetersizliği
Yetersiz belgelendirme
Yetersiz sözleĢme koruması
Seçilen SGYD ve/veya geliĢim yöntemlerine bağlı kalmada yetersizlik
Uygulamalar ve süreçler arasındaki bağımlılıklara yeterli bağımlılıklara dikkat yetersizliği
Yetersiz Konfigürasyon yönetimi
Veri dönüĢtürme/aktarma ve alımında planlamasının yetersizliği
Aktarma sonrası iĢte sorun çıkması
3.
PLANLAMA
3.1
3.1.1
Planlamada Göz önüne Alınması Gereken Faktörler
BS Denetçisi, bir uygulama sisteminin SGYD gözden geçirmesini planlarken incelemesini yaparken aĢağıdaki noktaları göz
önünde bulundurmalıdır:
3.2
3.2.1











Edinme/geliĢim Ģekli, teknolojisi, boyutu, hedefleri ve uygulama sisteminin kullanım amacı

Mevcut BS Denetçilerinin bilgi ve tecrübesi seviyeleri ve gereken yerlerde dıĢarıdan uzman yardımı alma olasılığı,
Edinme ve uygulamanın proje yapısı
Proje takımı için beceri ve deneyim profili
Seçilen SGYD kipi
(Varsa) Resmi SGYD yöntemi ve gereksinime göre düzenlenmiĢ/uyarlanmıĢ iĢleme tasarımı
SGYD‘yi etkilemesi muhtemel riskler
Yönetim tarafından algılanan konuların ve sorunların uygunluğu
Mevcut SGYD aĢaması
Uygulama sisteminin önceki SGYD aĢamalarının gözden geçirmeleri
Benzer uygulama sistemlerinde önceki herhangi SGYD gözden geçirmesi
Gözden geçirmeyi yüklenmesi teklif edilen BS Denetçisi yada diğerleri tarafından daha önce diğer risk değerlendirmeleri
veya gözden geçirmeleri
SözleĢme ġartları
BS Denetçisi, yukarıdaki noktaları hesaba katarak (TOR) ve planlanan SGYDC incelemesine sözleĢme Ģartlarına
uygunluğunu sağlamalıdır..Bunun, aĢağıdakileri kapsamak durumundadır:



Ġnceleme hedefleri



Ġncelemenin zaman çizelgesi-muhtemel baĢlama ve bitiĢ tarihleri
Ġncelemede kapsanacak SGYD aĢamalarının Ģartları dahilinde incelemenin kapsamı
Ġncelemenin çeĢidi – Teklif edilen SGYD‘nin ön uygulama incelemesi veya yürütülen SGYD olarak mevcut/paralel
incelemesi ya da SGYD‘ndeki sorunlar çözüldükten sonra uygulama sonrası gözden geçime olup olmadığı,
Gözlemleri ve önerileri raporlama süreci
Üzerinde anlaĢılmıĢ eylemlerin denetim sonrası izleme süreci.
107
G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirilmesi (Devamı)
3.2.2.
BS Denetçisi, seçilmiĢ uygulama sisteminin SGYD gözden geçirilmesi teklifinde uygun yönetim sözleĢmesini sağlamalıdır.
4
YETERLĠLĠK
4.1
4.1.1
Beceriler ve Deneyim
SGYD incelemesi ile ilgili olan BS Denetçileri, incelemeyi maliyet-verimlilik ve etkin olarak yürütebilmek için gereken beceri
ve deneyime sahip olmalıdır. BS Denetçileri, belli SGYD yöntemlerinin ve araçlarının kullanıldığı durumlarda bu yöntemler ve
araçlarla ilgili risklere iliĢkin yeterli bilgi ve deneyime sahip olmak durumundadırlar. BS Denetçisi, benzer bir biçimde
uygulama sisteminin satın alınmayıp geliĢtirildiği durumlarda, kullanılan yöntem ve araçlarla ilgili yeterli bilgi ve deneyime
sahip olmalıdırlar (Ģelale tarzı geliĢimi, prototipleme, hızlı uygulama geliĢimi, CASE ve amaç-odaklı geliĢim gibi). Güvence
verilen durumlarda BS Denetçisi, iç becerilerinin uygunluğunu tamamlamak amacıyla dıĢ kaynakları araĢtırabilir (ilgili
politikalar, usuller ve onaylara tabi olmak Ģartıyla).
5.
BAĞIMSIZLIK
5.1
5.1.1
Bağımsızlık
BS Denetçisi, uygulama sistemlerinin SGYD incelenirken uygulama sistemini edinip uygulamaktan sorumlu proje takımından
bağımsız görünmeli ve bağımsız olmalıdır. Denetim-dıĢı Rollerin BS Denetçisinin Bağımsızlığına Etkisini açıklayan G17
Rehberi, bu bağlamda göz önünde bulundurulmalıdır.
6.
ĠNCELEME ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
6.1
6.1.1
Ġnceleme ÇeĢitleri
BS Denetçisi, yönetimin kabul ettiği satın alma sözleĢmesi konusunda SGYD‘nin aĢağıdaki gözden geçirme veya denetimini
yapmalıdır:



6.2
6.2.1
Ön Ġncelemenin : Ön inceleme olduğu durumlarda BS Denetçisi sunulan SGYD modelini ve uygunluklarını potansiyel
riskler ve gerekli risk azaltma önerilerini uygun yönetim birimlerine bildirmek gibi uygunluğunu değerlendirmeye
çalıĢmalıdır...
Paralel/eĢzamanlı incelemelerde: BS Denetçisi, ilgili SGYD‘nin ilgili aĢamasını, nelerin yaĢandığını, yüksek
riskleri/sorunları vurgulamalı ve uygun yönetim seviyesine gerekli risk azaltma önerilerini sağlamalıdır.
Uygulama sonrası incelemelerde: BS Denetçisi, SGYD ilgili aĢamalarını tamamlandıktan sonra gözden geçirmeli,
karĢılaĢılan sorunları vurgulamak, gelecek için bir öğrenme aracı sunmak için yukardan aĢağı düzeltici önerilerini
sağlamalıdır.
Gözden Geçirilecek Konular
BS Denetçisi, gözden geçirme süreci esnasında aĢağıdaki riskleri/sorunları ve etkilerini değerlendirmek üzere ele almalı ve
değerlendirmelidir. Bunların bazıları, bütün SGYD‘nün gözden geçirmesiyle ilgili iken, gözden geçirme türüne bakmaksızın,
bazıları da sadece belirli bir gözden geçirme Ģekli ile ilgilidir. BS Denetçisi, riskleri ve sorunları uygun bir biçimde
değerlendirmesine ve etkilerini azaltmak için önerilere ulaĢmak amacıyla, incelemenin kapsam ve amaçlarıyla ilgili yönlerini
incelemeli ve değerlendirmelidir. Örneğin:

Uygulama sistemi için proje Ģartnamesi (proje planı, çıktıları ve zaman çizelgeleri dahil) ve iĢ sözleĢmesi (maliyetlerin ve
faydaların belirtilmesi)


Her türlü çalıĢma grubu, izleme grubu ve ilgili rolleri ve sorumlulukları dahil proje yapısı.

ġelale modeli geliĢtirme, prototipleme, çevik uygulama geliĢtirme, CASE, amaç-odaklı geliĢim ve uygulama sistemi için
seçilmiĢ ilgili araçlar gibi. GeliĢtirme veya uygulama geliĢim yöntemi
Uygulanan resmi proje yönetim yöntemi uyarlanmıĢ ise; (var ise PRINCE 2 gibi) ve sürecin ihtiyaca göre düzenlenmiĢ
süreç tasarım süreci



Satın alınan uygulama sistemleri için tedarikçilerle sözleĢmeler









Ġnceleme altındaki SGYD aĢamalarının çıktılarının yapısı
DıĢarıdan satın alanın hizmetler için tedarikçilerle sözleĢmeler (gereksinime göre tasarım ve/veya geliĢtirme gibi)
SGYD modelindeki kontrol süreçleri-Özellikle incelemeler, uygunluk bildirimleri, onaylar ve inceleme altındaki SGYD
aĢamalarından ayrılmalar
ÇalıĢma gurupları ve yönetim gurubu görüĢmeleri gibi ilgili görüĢmelerin tutanakları
Gözden geçirmelerin denetim izleri ve iptalleri gibi gerçek denetim çıktıları
Projenin raporlanması, ilerleme izleme (çaba, zaman ve maliyet) ve artırma
Kaynak yönetimi
Sürekli risk yönetimi
Kalite /güvence yönetimi
DeğiĢim yönetimi
Hizmet seviye anlaĢmalarını (SLA) içeren performans ve sorun yönetimi
108
G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirme Gözden Geçirmeleri(Devamı)







Konfigürasyon yönetimi
Veri dönüĢümü/taĢınması
Testler dahil iç-proje incelemeleriyle ilgili belgelendirme
Ġç-proje ve tedarikçi iletiĢimleri
Uygulama sisteminin önceki SGYD aĢamaları incelemeleri(Var ise)
Benzer uygulamaların önceki SGYD incelemeleri (Var ise)
Uyulması gereken ilgili yasal, düzenleyici ve politikalar (Var ise)
COBIT, AI1 Otomatik Çözümlerin ve AI2 Uygulama Yazılımı Edinme ve Bakımının tanımlanması gibi alanları kapsayan
uygulama sistemlerinin edinilmesiyle ilgili yüksek seviyede kontrol hedeflerini tanımlar. Benzer Ģekilde,P10 Proje Yönetimini,
PO11 Kalite yönetimini ve DS5 Sistem Güvenliğini Sağlamayla ilgili yüksek seviye kontrol hedefleri de vardır. COBIT
dâhilinde bunlar daha ileri seviyede ayrıntılı kontrol amaçlarına geniĢletilmiĢtir. BS Denetçisi, incelemenin bir bölümü olarak
bu kontrol hedeflerinin (inceleme altındaki SGYD aĢamaları) ne derecede karĢılandığını, bu hedeflere ulaĢmak için kullanılan
mekanizmaların ve usullerin ne derecede verimli olduğunu değerlendirmelidir.
COBIT, uygulama sistemleri tarafından karĢılanması gereken yedi bilgi kıstasını da tanımlar (verimlilik, etkinlik, gizlilik,
bütünlük, eriĢebilirlik, uyumluluk ve güvenilirlik). BS Denetçisi, bir uygulama sisteminin SGYD incelemesinin bir bölümü
olarak, SDLC sürecinin/aĢamalarının bu kıstasların gerçekleĢtirilmesi yolunda ne derece verimli katkıda bulunduğunu
değerlendirmelidir. Bu kriterlerle uygulama sisteminin uyumluluğunun gerçek değerlendirilmesi, uygulama sisteminin gözden
geçirilmesinin bir parçası olabilir. (G14 Uygulama Sistemlerinin Ġncelemesi Rehberine bakınız).
6.2.2
6.2.3
7.
RAPORLAMA
7.1.
7.1.1.
BS Denetçisinin Raporu
Uygulama sistemlerinin SGYD incelemeleri, raporlama, sorunları
ve riskleri tanımlandığı zaman sürekli olarak
gerçekleĢtirilebilir. Bu raporlar, gerekli adımların atılması amacıyla ilgili yönetim birimine verilir. Ġnceleme sırasında ortaya
çıkan sorunların tamamı nihai raporda yer almalıdır..
Ġncelemenin çeĢidine bağlı olarak, rapor aĢağıdaki maddelere ve benzerlerine hitap etmelidir:
7.1.2.



8.
8.1.
8.1.1.
9.
9.1.
SGYD modelinin ve geliĢtirme yönteminin uygunluğu
Riskler ve sorunlar; sebepleri ve sonuçları
SGYD aĢamasında muhtemel risk azaltma faaliyetleri-Ġnceleme altında veya akıĢ sırasında. Örneğin tasarım sırasında
karĢılaĢılan sorunlar, ilgili aĢamalarda, geliĢtirme ve test gibi risk azaltma önlemleri gerektirebilir...
ĠZLEME
Denetim Sonrası Ġzleme
Uygulama sistemlerinin SGYD gözden geçirmelerinin, özellikle ön-uygulama ve paralel uygulama incelemeleri için -risk
azaltma önlemlerinin zamanında alındığına makul güvence uygun denetim sonrası gözden geçirme ile sağlanmalıdır.
Uygulama-sonrası inceleme durumunda, denetim sonrası izleme faaliyetleri, uygulanması aĢamasına ve gelecekte benzer
projelerde düzeltici faaliyetlerin zamanlılığına odaklanmalıdır.
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimlerinde 1 Ağustos 2003 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinde bulunabilir (www.isaca.org/glossary).
EK
COBIT Referansı
Denetim kapsamına uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi
kıstaslarının göz önünde bulundurulmasına bağlıdır.
Bu belli denetim alanında, SGYD‘nin incelenmesi, COBIT‘te en ilgili olabilecek süreçler: Seçilen Plan ve BT Proseslerinin Organizesi,
BT Proseslerinin bütün edinme ve Uygulama süreci ve seçilmiĢ Teslimat ve Destek. Bu yüzden; aĢağıdaki süreçler için COBIT
rehberleri, denetim gerçekleĢtirilirken ilgili dikkate alınır:







PO8-DıĢ Gerekliliklerle Uyumun Sağlanması
PO10-Proje Yönetimi
PO11-Kalite Yönetimi
AI1-Otomatik Çözümlerin Tanımlanması
AI2-Uygulama Yazılımının Edinilmesi ve Bakımı
AI3-Teknoloji Altyapısının Edinilmesi ve Bakımı
AI4-Usullerin GeliĢtirilmesi ve Güncellenmesi
109
G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Gözden Geçirme Gözden Geçirmeleri(Devamı)








AI5-Sistemlerin Kurulması ve Akredite Edilmesi
AI6-DeğiĢikliklerin Yönetimi
DS1-Hizmet Seviyelerinin Tanımlanması ve Yönetilmesi
DS2-Üçüncü Taraf Hizmetlerinin Yönetilmesi
DS3-Performans ve Kapasite Yönetimi
DS4-Hizmet Sürekliliğinin Sağlanması
DS5-Sistem Güvenliğinin Sağlanması
DS7-Kullanıcı Eğitimi ve yetiĢtirilmesi
Bir SGYD denetimiyle en ilgili bilgi kıstasları Ģunlardır:


Birincil: verimlilik ve etkinlik
Ġkincil: gizlilik, bütünlük, eriĢilebilirlik, uyumluluk ve güvenilirlik
110
G24 Ġnternet Bankacılığı
1.
1.1.
1.1.1.
1.1.2
1.1.3.
1.1.4.
1.1.5.
1.1.6.
1.1.7.
1.2.
1.2.1.
1.2.2.
ARKA PLAN
ISACA Standartlarıyla Bağlantı
S2 Bağımsızlık Standardı,‖ BS Denetim iĢlevi, denetim faaliyetlerinin amaçlarının tarafsız bir biçimde tamamlanmasına
olanak vermek için, denetim alanı veya faaliyetlerden bağımsız olmalıdır.‖Ģeklinde ifade eder.
S4 Yeterlilik Standardı ― BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki açıdan
yeterli olmalıdır.‖ Ģeklinde ifade eder.
S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim kapsamını ve
yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak
için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde ifade eder..
G22 ġirketten-müĢteriye e-ticaret Denetim Rehberi, yol göstericilik sağlar.
P3 Saldırı Tespit Sistemi Denetimi Usulü (=IDS), yol göstericilik sağlar.
P2 Dijital Ġmzalar ve Anahtar Yönetimi usulü, yol göstericilik sağlar.
COBIT Bağlantısı
COBIT çerçevesine göre ―Kurumun, bütün yönlerinin güvenliğini sağlamak yönetimin sorumluluğudur. Bu
sorumluluğu yerine getirmek için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖ der.
COBIT Yönetim Rehberi, sürekli ve ileri dönük öz-değerlendirme için yönetim odaklı bir çerçeve sağlar. Bu çerçeve özellikle
aĢağıdaki noktalara odaklanmıĢtır:




1.2.3.
1.2.4.
1.2.5.
1.2.6.
Performans ölçümü-BT iĢlevi iĢin gereksinimlerini ne derecede desteklemektedir?
BT kontrol profili-Hangi BT süreci önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?
Farkındalık-Amaçlara ulaĢamama riskleri nelerdir?
KarĢılaĢtırma-Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir?
Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar
performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin,
süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk
özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite
değerlendirmesi ve karĢılaĢma sağlar.
Yönetim Rehberleri, kendini değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası
olarak sürekli izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.
COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol teknikleri sağlar. Özel denetim alanına uygulanacak
COBIT‘teki en ilgili materyalin seçilmesi, özel COBIT BT süreçleri, kontrol hedefleri, yönetim kontrol uygulamalarıyla
bağlantısı ve ilgili COBIT bilgi kıstaslarının seçimine bağlıdır.
Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ekinde yer alan
COBIT kaynakları göz önünde bulundurulmalıdır.
1.3.
1.3.1.
Rehber Ġhtiyacı
Bu rehberin amacı, gözden geçirme süresince ilgili BS Denetim Standartlarıyla uyumun sağlayabilmek için internet
bankacılığı iĢleyiĢini, faaliyetlerini ve uygulamalarını incelerken önerilen uygulamaları ve bu faaliyetlerle ilgili riskleri
tanımlanması ve kontrol edilmesini gerçekleĢtirmek için önerilen uygulamaları tanımlamaktır.
2.
ĠNTERNET BANKACILIĞI
2.1.
2.1.1.
Tanım
Ġnternet bankacılığı terimi, internetin bankacılık hizmetleri için uzaktan sunumu kanalı olarak kullanılmasına iĢaret eder. Bu
hizmetler, geleneksel olanlar dahil olmak üzere, bir hesap açmaya veya fonların farklı hesaplara aktarımını kadar, çevrimiçi
elektronik ödemeler gibi yeni bankacılık hizmetlerini de kapsar(MüĢterilere, bankanın web sitesinden faturaları alma ve
ödeme imkanı verir).
2.2.
2.2.1.
Ġnternet Bankacılığı Faaliyetleri
Giderek daha fazla banka iĢlerini, müĢterileriyle iliĢkilerini geliĢtirmek veya ilerletmek amacıyla internet teknolojisini
kullanarak dönüĢtürmektedir. Ġnternetin kullanılma sınırı, bankanın internet teknolojisine ne derecede olgun olduğunun
görece durumuna bağlıdır. Bankalar, internet bankacılığını iki biçimde sunmaktadırlar. Fiziksel Ģubeleri olan bir banka,
geleneksel sunum kanallarına ilave olarak, bir web sitesi oluĢturabilir ve müĢterilerine internet bankacılığı hizmeti sunabilir.
Bir diğer seçenek ise Ģubesiz sanal bir banka veya bir ―sadece internet bankası‖ kurmaktır. Bilgisayar sunucusu veya
sanal bankanın tam kalbinde yer alan banka veritabanı, yasal adres olarak hizmet verecek olan bir ofise yerleĢtirilebilir. Sanal
bankalar, müĢterilerine bankacılık iĢlemlerini yapmaları için ATM‘ler (Otomatik Ödeme Makinesi) veya diğer baĢka yollarla
hizmet verirler. Ġnternet bankacılığının özellikleri, eĢsiz değiĢim hızını, müĢteri hizmetlerinde yenilikleri ve internetin global
doğasından dolayı internet bankacılığının bilgisayar sistemleriyle bütünleĢikliğini ve üçüncü tarafların bankalara olan artan
bağımlılıklarını ve gereken bilgi teknolojisini içerir. Bu nedenle, bir banka internet faaliyetlerini aĢağıdaki yollardan bir veya
birkaçıyla yürütebilir:
111
G24
Ġnternet Bankacılığı (Devam)



Bilgilendirme-Bu, internet bankacılığının temel seviyedir. Banka, genellikle, bağımsız bir sunucu üzerinde kendi ürünleri
ve hizmetleri hakkında pazarlama bilgileri vardır. Bu faaliyetlerle ilgili riskler, bilgi sistemlerinin tipik olarak sunucu ile
bankanın kendi iç ağı arasında bir bağlantısı olmamasından dolayı görece düĢük derecededir . Bu seviyede, bir internet
bankacılığı bankanın kendisi tarafından veya dıĢarıdan verdirilebilir. Bankanın riski düĢük olsa bile, sunucudaki veya web
sitesindeki veriler değiĢime karĢı korunmasız olabilir. Bu nedenle, bankanın sunucusundaki veya web sitesindeki
verilerini yetkisiz değiĢtirmeyi önlemek için uygun kontroller hazır durumda olmalıdır.
ĠletiĢimli-Bu çeĢit internet bankacılığı, bankanın kendi sistemleri ve müĢteri arasında birkaç etkileĢime imkan sağlar. Bu
etkileĢim, e-posta, hesap özeti, kredi baĢvuruları veya durağan dosya güncellemeleri (ad ve adres değiĢiklikleri) gibi
iĢlemlerle sınırlandırılabilir. Bu sunucuların, normalde bankanın iç ağına doğrudan eriĢimleri
olduğundan dolayı iĢlem riski BS‘deki riskten daha yüksektir. Bankanın bilgisayar sistemlerine ve iç ağlarına karĢı
yetkisiz faaliyetleri engellemek için karĢı kontroller hazır olmalıdır. Virüs belirleme ve önleme kontrolleri, ayrıca bu
ortamda önemlidir.
EtkileĢimli-Bu seviyede internet bankacılığı, müĢterilerin mali içerikli iĢlemler yapmalarına olanak tanır. Her biri de farklı
risk profiline sahip iki seviyede etkileĢimli internet bankacılığı vardır. Temel etkileĢimli site, sadece müĢteriler veya
müĢteriyle banka arasında fonların aktarımına izin verir. Ġleri seviye etkileĢimli site, ise bankanın dıĢında üçüncü taraflara
ödemeler yapılmasına olanak tanır. Bu, fatura ödemesi Ģeklini alabilir veya elektronik fon aktarımı gibi iĢlemleri içerebilir.
Çoğu banka müĢteriden müĢteriye her iki yöntemi de kullanarak ödeme yapılmasına olanak verir. Fonların aktarımının
banka dıĢında bir noktaya yönlendirilmesine izin verilmiĢse faaliyetin riski artar. Bu ortamın içerisine yetkisiz eriĢim,
dolandırıcılıklara yol açabilir veya yükseltebilir. Bir iletiĢim yolunun normalde karmaĢık olmasından ve çeĢitli sunucular ile
müĢteri ve bankanın iç ağları arasında hatlar veya araçlar gerektirmesinden dolayı bu ortam en yüksek mimari riskine
sahiptir ve en güçlü kontrollere sahip olmalıdır.
3.
ĠNTERNET BANKACILIĞININ ĠNCELENMESĠ
3.1.
3.1.1.
Kapsam
Bankacılık -doğası gereği- yüksek riskli bir iĢtir. Bankacılık faaliyetleriyle ilgili ana riskler Ģunlardır: Stratejik riskler, bankanın
saygınlığıyla ilgili riskler, faaliyet riskleri (güvenlik dahil-bazen iĢlemsel diye adlandırılan riskler- ve hukuki riskler), kredilerle
ilgili riskler, fiyatlarla ilgili riskler, dövizlerle ilgili riskler, faiz oranlarıyla ilgili riskler ve likiditeyle ilgili riskler. Ġnternet bankacılığı
faaliyetleri, geleneksel bankacılıkta tanımlanmamıĢ olan riskler ortaya çıkarmaz, ancak bu risklerin bir kısmını değiĢtirir ve
artırır. Ana faaliyetler ve bilgi teknolojisi ortamı sıkı bir biçimde birbirine bağlıdır; bu yüzden internet bankacılığının bütün risk
profilini etkilerler. Özellikle, BS Denetçisinin bakıĢ açısından ana konular stratejik, faaliyet ve bankanın saygınlığıyla ilgilidir,
çünkü bunlar doğrudan güvenli veri akıĢına yönelik tehditlerle ilgilidirler ve internet bankacılığının dünya bankacılığına hızlı
giriĢi ve teknolojik karmaĢıklığı tarafından artırılmıĢ olan riskleridir. Bankalar, teknolojilerinin risklere karĢı tanımlanıp, ölçülüp,
izlenmesi ve kontrol edilmesi için risk yönetim süreci olmalıdır. Yeni teknolojilerin risk yönetiminin üç temel unsuru vardır:



3.1.2.
Risk yönetimi, yönetim kurulunun ve üst yönetimin sorumluluğudur. Bu ikisi bankanın iĢ stratejisini geliĢtirmek ve
etkili bir risk yönetim yöntemi kurmaktan sorumludurlar. Bankanın internet bankacılığını kullanımı ve ilgili riskleri
yönetmek için gerekli bilgi ve beceriye sahip olmak durumundadırlar.Yönetim kurulu, bankanın internet bankacılığın
yürütüp yürütmeyeceğine dair ve yürütecekse nasıl yürüteceğine dair açık, bilgi verici ve resmi olarak belgelendirilmiĢ bir
stratejik karar vermelidir. Ġlk karar, yükselen sınır ötesi bir yaklaĢımla risklere karĢı sorumlulukları, politikaları ve
kontrolleri içermelidir. Kurul, bankanın risk algılamasında önemli rolü olan internet bankacılığıyla bağlantılı projeleri
incelemeli, onaylamalı, izlemeli ve yeterli kontrollerin tanımlanmasını, planlanmasını ve uygulanmasını sağlamalıdır.
Kullanılan teknoloji, bilgi teknolojisi sorumluluğu üst yönetimindir. Bunlar, internet bankacılığı teknolojisini ve ürünlerini,
etkili bir biçimde değerlendirebilmek için tecrübeye sahip olmalıdır ve bunlar uygun Ģekilde yerleĢtirilmeli ve uygun
Ģekilde belgelendirilmelidir.Banka bu sorumluluğu kendi içinden yerine getiremeyecek ise, tamamlayıcı teknoloji ve
uzmanlığa sahip üçüncü taraflarla iĢbirliğiyle bu tarz iĢlerde ve faaliyetlerde uzmanlıkları bulunan bir tedarikçi ile
sözleĢme yapmayı dikkate almalıdır.
Riskleri ölçmek ve izlemek, faaliyet yönetiminin sorumluluğudur. Bunlar, bankanın, internet bankacılığını kullanımı ve ilgili
riskleri yönetmek için gerekli bilgi ve beceriye sahip olmalıdır. Yönetim kurulu, kullanılan teknolojilerle, öngörülen risklerle
ve bu risklerin nasıl yönetildikleriyle ilgili düzenli raporlar istemelidir.
Ġnternet bankacılığı sistemleriyle ile ilgili iç kontroller, bankanın sunduğu hizmetlerin risk seviyesi, uygulamanın ve bankanın
risk tolerans seviyesi ile uyumlu olması gerekmektedir. Ġnternet bankacılığında iç kontrollerin incelenmesi, BS Denetçisine
kontrollerin uygun ve iĢlevlerin düzenli çalıĢtıklarına dair makul güvence sağlamasına yardımcı olmalıdır. Bir bankanın
internet bankacılığı teknolojisi ve ürünleri için kontrol hedefleri, aĢağıdaki konulara odaklanabilir:

Faaliyetlerin verimlilik, etkinlik ve ekonomisi ile kurumsal politikalar ve yasal gereksinimlerle uyumunu kapsayan teknoloji
planlaması ve stratejik hedeflerle tutarlılığı



ĠĢ kurtarma planlaması dahil veri ve hizmet eriĢilebilirliği

Yönetim raporlamasının güvenilirliği
Varlıkların korunmasını, iĢlemlerin uygun biçimde yetkilendirilmesini ve verinin güvenilirliği kapsayan veri bütünlüğü
ÇalıĢanlar ve müĢteriler birlikte eriĢimleri üzerindeki kontrolleri kapsayan veri gizliliği ve kiĢisel bilgilerin mahremiyeti
standartları
112
Ġnternet Bankacılığı (Devamı)
G24
3.1.3.
BS Denetçisi, iç kontrolleri ve yeterliliklerini uygun bir biçimde değerlendirmek için bankanın faaliyet ortamını anlamalıdır. BT
YönetiĢim Enstitüsünce 2000 yılında basılan COBIT 3. baskısı bilgi sistemleri tarafından karĢılanması gereken yedi bilgi
kıstası ortaya koymuĢtur:







3.1.4
3.1.5
3.1.6
3.1.7
Verimlilik
Etkinlik
Gizlilik
Bütünlük
EriĢebilirlik
Yasal uygunluk
Güvenilirlik
Bölüm 3.1.3.‘te listelenen bilgi kıstasları, internet bankacılığında da geçerlidir. Bu yüzden bir internet bankacılığı incelemesi,
internet bankacılığı giriĢimleri, uygulamaları ve faaliyetlerinin COBIT bilgi kıstaslarının ne Ģekilde karĢılandığına bakmalıdır.
internet bankacılığı, diğer bankacılık biçimleri/kanallarıyla karĢılaĢtırıldığında büyük oranda müĢteri bilgilerinin gizliliğine
duyulan güvene veya bütünlüğe ve sistemlerin eriĢebilirliğine dayanmaktadır. Bu bağlamda, acil durum yedekleme ve kesinti
seçenekleri ile felaket kurtarma süreçleri uygun Ģekilde bulunmalıdır. Ġnternet bankacılığının ödeme veya fon aktarımını
içerdiği durumlarda, iĢlemlerin inkar edilemezliği ve bütünlüğü zorunlu konulardır. Bu gibi durumlarda, internet bankacılığı
incelemesi inkar edilemezliğin ve bütünlüğün sağlanabilmesi için internet bankacılığı sistem kontrollerinin etkinliğine yönelik
olmalıdır. Düzenlemeleri ihlal edebileceğinden veya bankacılık düzenlemeleriyle uygunluğun sağlanabileceğinden dolayı,
özellikle süreklilik süreçler sınır ötesi süreçlere dayanıyor
ise internet bankacılığının çözümlerinin eriĢilebilirliliği
değerlendirilirken bunlara gereken önem verilmelidir.
ĠletiĢimin, iĢlemin veya eriĢim talebinin yasal olduğunun onaylanması internet bankacılığının temelidir. Bu yüzden bankalar,
yeni müĢterilerin kimlik ve diğer bilgilerinin onayını yapmak için güvenilir yöntemler kullanmalıdırlar. Hesap baĢlangıcında
müĢteri doğrulaması, hırsızlık, dolandırıcılık ve kara para aklama faaliyeti risklerini önlemede çok önemlidir. Güçlü müĢteri
kimliklendirme ve yetkilendirme süreçleri, özellikle yurt içi ve uluslararası müĢterilerin gerçekleĢtirdikleri elektronik
iĢlemlerden doğabileceği öngörülen, müĢteri kimliğinin taklit edilmesi riski ve potansiyel müĢterilerin etkili kredi kontrollerinin
uygulanmasında yaĢanan zorlukları içeren aksaklıklar sınır ötesi bağlamında önemlidir.
Denetlenebilirliğin, iĢlemlerin büyük bir kısmı belgesiz ortamda yapıldığından dolayı internet bankacılığında çok büyük önemi
vardır.
4.
BAĞIMSIZLIK
4.1.
4.1.1.
Mesleki Tarafsızlık
BS Denetçisi, görevi kabul etmeden önce internet bankacılığı yapan kurumda incelemenin tarafsızlığını zedeleyecek
herhangi bir çıkarının olup olmadığının makul güvencesini sağlamalıdır. Herhangi bir çıkar çatıĢmasının olduğu durumlarda,
banka yönetimine açıkça iletilmelidir ve görevi kabul etmeden önce banka yönetiminin yazılı onayı aranmalıdır.
5.
YETERLĠLĠK
5.1
5.1.1.
Beceri ve Bilgi
BS Denetçisi, internet bankacılığıyla ilgili riskleri ve kullanılan teknolojinin incelemesini tamamlamak için gerekli teknik ve
faaliyet tecrübesine ve bilgisine sahip olmalıdır. BS Denetçisi, teknoloji ve ürünlerin bankanın stratejik hedefleriyle örtüĢüp
örtüĢmediğini belirlemelidir. Bu tür incelemelerde özellikle, bankanın faaliyetleri ve bunlarla ilgili riskleri ve web hosting/alan
sağlama teknolojileri, kriptolama teknolojileri, ağ güvenlik mimarisi ve güvenlik duvarı, virüs koruma ve yetkisiz giriĢ gibi
güvenlik teknolojilerinin bilinmesi gereklidir. Uzman görüĢü ve girdisi gerekirse, uygun kullanımı dıĢsal uzmanlık
kaynaklarından yapmıĢ olmalıdır. DıĢarıdan yardım alınacağı gerçeği, banka yönetime yazılı olarak bildirilmelidir.
6.
PLANLAMA
6.1.
6.1.1.
Yüksek Seviye Risk Değerlendirmesi
BS Denetçisi, bankanın internet bankacılığıyla ilgili amaçlarını, bu amaçlara ulaĢmak için kullanılacak stratejiyi, bankanın
internet teknolojisini müĢterileriyle iliĢkilerinde kullanma yöntemiyle (iĢlemler için veya bilgi vermek için 2.2.1‘deki gibi) ilgili
bilgi toplamalıdır. Bu Ģekilde toplanan bilgi, yüksek seviye bir bankacılık risk değerlendirmesine ve aynı zamanda COBIT bilgi
kıstaslarına da imkan sağlayacak biçimde olmalıdır. Bu yüksek seviye risk değerlendirmesi, incelemenin kapsamını ve
içeriğini belirlemede yardımcı olacaktır. Eğer bankanın bir kurumsal risk çerçevesi varsa, bu da kullanılabilir.
113
G24
Ġnternet Bankacılığı (Devamı)
6.1.2.
BS Denetçisi, internet bankacılığının uygulanmasını, muhtemel vakaları, bankaya muhtemel etkilerini, riskleri önlemede
kullanılabilecek muhtemel risk yönetim önlemleri ile ilgili belli ve genel tehditleri değerlendirmek ve analiz etmek amacıyla bir
risk değerlendirme yaklaĢımı izlemelidir. AĢağıdaki stratejik riskleri, değerlendirilmelidir:
6.1.3.
6.1.4.
6.1.5.




Stratejik değerlendirme ve risk analizi










MüĢteri güvenliği uygulamalarını




MüĢterilere bilgilerin açıklanması
Kurumsal stratejik hedeflerle bütünlük
Teknolojik altyapının seçilmesi ve yönetilmesi
Üçüncü taraf sağlayıcılarla dıĢ kaynak iliĢkilerinin yönetilmesi için kapsamlı süreci
AĢağıdaki güvenlik riskleri değerlendirilmelidir:
MüĢterilerin kimlik vb doğrulamalarını
ĠĢlemlerin inkâr edilemezliği ve hesap verilebilirliği
Görevlerin ayrılığını
Sistemler, veritabanları ve uygulamalar içerisinde yetkilendirme kontrollerini
Ġç veya dıĢ yolsuzluklarını
ĠĢlemlerin, veritabanlarının ve kayıtların veri bütünlüğünü
ĠĢlemlerin denetim izlerini
Veri iletiminin gizliliğini
Üçüncü taraf güvenlik riskini
AĢağıdaki hukuki riskler değerlendirilmelidir:
KiĢisel bilgilerin gizliliği
Düzenleyiciler ve gözetimler sonucunda ortaya çıkan düzenleyici kurallara uyum
Yabancı yasal mercilere açıklama
AĢağıdaki kurumsal itibar risklerini değerlendirilmelidir:



Hizmet seviyesi sunumu
MüĢteri özeni seviyesi
ĠĢ sürekliliği ve acil durum planlaması
6.2.
6.2.1.
Ġncelemenin Kapsam ve Amaçları
BS Denetçisi, uygun olan yerlerde banka yönetimiyle iĢbirliği içinde internet bankacılığı incelemesinin kapsam ve amacını
açıkça tanımlamalıdır. Ġncelemede kapsanacak alanlar, açık bir biçimde belirtilmelidir. Bankanın internet faaliyetlerinin doğası
ve hacmi (2.2.1.‘de belirtildiği gibi) ve ilgili riskler-yüksek seviyede risk olarak tanımlanmıĢ ise- incelemenin kapsam ve
derinliğiyle hangi koruların gözden geçirilmesi gerektiğine zorlar.
6.2.2.
Ġncelemenin amacı ve kontrol hedefleri, düzenlemelerle ve yürürlükteki bankacılık yasalarıyla uyum içerisinde olmalıdır.
Ġnternet sınırsızdır, çok devletli ve çok Ģehirli çevrede olsa bile internet tabanlı sunum kanalını çalıĢtırarak herhangi bir
bankanın kullanılması bu yüzden çok kolaydır. Bankanın kendisi ve faaliyetlerinin bulunduğu yer değil, müĢterileri nerede
bulunuyorsa oradaki yasalar, düzenlemeler ve sınırlandırmalarla bağlı olabilir.. BS Denetçisi, bu yüzden bankanın coğrafi
yayılımını olan veya planlanan müĢteri portföyüne göre planlamalıdır. BS Denetçisi, internet bankacılığı faaliyetleri üzerinde
kaç değiĢik yasal ve düzenleyici kontrolün bulunduğunu tanımlamalı ve internet bankacılığının risklerinin ne Ģekilde
yönetildiğini saptamasını gereklidir.
6.3.
6.3.1.
YaklaĢım
BS Denetçisi, incelemenin amaç ve kapsamının tarafsız ve mesleki bir tarzda yürütülmesi için yaklaĢımı doğru
biçimlendirmelidir. YaklaĢım, incelemenin ön ya da son inceleme olduğuna bağlıdır. Bu yaklaĢım, uygun bir biçimde
belgelenmelidir. Eğer dıĢ uzmanların girdi veya önerileri kullanılacaksa, bu yaklaĢımın bir bölümü olarak da belirtilmelidir.
6.4.
6.4.1.
Plan Ġçin Harekete Geçme
Kurumun uygulamalarına bağlı olarak, BS Denetçisinin banka yönetiminin gözden geçirme planı ve yaklaĢımı için onayını
alması uygun olur.
7.
ĠNTERNET BANKACILIĞI ĠNCELEMESĠNĠN GERÇEKLEġTĠRĠLMESĠ
7.1
7.1.1
Yürütme
Ġncelenecek konular ve inceleme süreci, incelemenin amaçlanan kapsamı, gözden geçirmenin hedefi ile planlama sürecinin
parçası olarak tanımlanan yaklaĢım dikkate alarak seçilmelidir.
114
G24
Ġnternet Bankacılığı (Devamı)
7.1.2
Genel olarak internet bankacılık ortamının toplanması, analiz ve yorumlanmasında internet bankacılığı hakkında
düzenlemeler, internet yasası, kiĢisel bilgilerin gizliliği yasaları, web bankacılık sistem belgelendirmesi ve internet bankacılığı
çözümünün kullanımı gibi var olan belgelerden yola çıkıp bir araĢtırma yapılmalıdır.
BS Denetçisi, daha önce belirtilmiĢ olan internet bankacılığıyla ilgili sorunlar ve bunlara dair denetim sonrası izleme
faaliyetleriyle ilgili olarak aĢağıdaki belgeleri incelemelidir:
7.1.3




7.1.4
7.1.5
7.1.6
7.1.7
7.1.8
7.1.9
7.1.10
Önceki değerlendirme raporları
Denetim sonrası izleme faaliyetleri
Önceki değerlendirmelerin çalıĢma kağıtları
Ġç ve dıĢ denetim raporları
BS Denetçisi, internet bankacılık sistemi/faaliyetleri ile ilgili anahtar süreci tasarlamalıdır (Otomatik veya manuel).
Temel iĢ riski değerlendirilmesi (6.1.‘de ortaya konulduğu gibi), internet bankacılığının amaçlarının, strateji ve iĢ modelinin
kritik değerlendirilmesini içermelidir.
BS Denetçisi, bu süreçlerle ilgili risklerin gerçekleĢme olasılığını (BS riskleri ve iĢ riskleri), riskleri azaltacak risklerle uyumlu
kontrollerin ve bunların muhtemel etkileriyle birlikte kontrollerini belgelendirmeli ve somutlaĢtıracak Ģekilde süreçleri daha
sonra değerlendirmelidir.
BS risk değerlendirmesinin bir bölümü olarak dıĢ BS tehditleri, banka tarafından sunulan ürünlerin doğasına ve açık olunan
dıĢ tehditlere bağlı olarak değerlendirilmelidir. Bu tehditler hizmete eriĢilememesi, verilere yetkisiz eriĢimi; bilgisayar
korsanları, rakipler, yabancı hükümetler, teröristler veya kızgın bir çalıĢan tarafından yapılabilecek olan bilgisayar
donanımının yetkisiz kullanımını içerir.
BS Denetçisi, ön veya son incelemenin doğasına bağlı olarak, sürecin olması gerektiği gibi çalıĢtığından emin olmak için
testteki önemli süreçleri kontrol etmelidir. Bu testler bilanço istemi, fatura teslimi ve ödeme testi, güvenlik mekanizmalarına
sızma testi yapılarak testleri içerir.
BS Denetçisi, uygulama sonrası incelemesinde ağ haritası,, ağ yönlendirme yolları, ve ağ güvenlik değerlendirmesi ile iç ve
dıĢ saldırılar hakkında bilgi edinmelidir.
Ġnternet bankacılığı çözümü aslında bilgi teknolojisi çözümü olduğundan dolayı, COBIT tarafından konulmuĢ bilgi kıstaslarını
ve endüstri tarafından ortaya konulmuĢ diğer düzenlemeleri karĢılamalıdır. Bilgi kıstaslarıyla, standartlarıyla ve/veya
düzenlemelerle uyumun sınırı ve uyumsuzluğun etkisi analiz edilmelidir.
7.2.
Ġncelenecek Yönler
7.2.1.
AĢağıdaki kurumsal konuların mevcut olup olmamaları açısından incelenmelidir:
7.2.2.






Banka internet bankacılığı faaliyetlerine baĢlamadan önce gereken özen ve risk analizi yapılıp yapılmadığı


Görev ayrılığı sağlayacak olan önlemlerin alınıp alınmadığı
Ġnternet bankacılığı bankanın toplam hedefi, stratejik hedefleri ve iĢletim planlarıyla uyumlu olup olmadığı
Ġnternet baĢvurusu tanımlanmıĢ ve onaylanmıĢ iĢ modeliyle uyumlu olup olmadığı
Ġnternet bankacılık sistemleri ve/veya hizmetleri, kurum içerisinde veya üçüncü taraflarca yapılıp yapılmadığı
Kurumun yönetimi ve personeli internet bankacılığını yönetmek için kabul edilebilir seviyede bilgi ve teknik beceriye sahip
olup olmadığı
Ġnternet bankacılığı iĢlemlerini ve ödeme hizmetleri faaliyetlerini yönetmek için yönetim raporlarının yeterli olup olmadığı
Ġnceleme aĢağıdaki gibi politika konularının olup olmadığını da içermelidir:

MüĢterileri, tedarikçileri, müĢteri kimlik doğrulamayı, müĢteri/tedarikçilerin verilerinin gizliliğini, denetim izleri, kullanılan
sistem kayıtlarının incelemesini ve bankanın internet bankacılığını ilgilendiren yasalara güncel olarak uyup uymadığını
ilgilendiren uygun politikalar tanımlanıp uygulanıp uygulanmadığı


Banka, internet bankacılık ürün hattıyla ilgili kiĢisel bilgi gizliliğini sağlayıp sağlamayacağı

Bankadan yapılan diğer sitelere yapılan bağlantılarını yöneten politikaları müĢterilerin bankaya ait veya bankaya ait
olmayan ürünleri kolayca ayırt edebilmelerini sağlayacak ve bankanın web sitesinden ayrılırken bu durumu bildirecek
biçimde oluĢturulup oluĢturulmadığı.


7.2.3.
Sınır ötesi etkinlikler varsa gereken özen ve risk analizi yapılıp yapılmadığı
Ġnternet bankacılığı hizmetlerine giriĢ yapmadan önce, müĢterilerin kimlik ve düzenleyici durum hakkında ilgili yargılara
varmalarını sağlayacak bildirimlerin web sitesinde verilip verilmediği (Bankanın ismi, ana binasının nerede olduğu, birincil
banka denetim yetkilileri, müĢteri hizmetleriyle iletiĢime geçme yolları ve diğer ilgili bilgiler).
DeğiĢiklik kontrolleri, denetim izlerinin gözden geçirilmesi ve kullanılan sistem kayıtlarının gözden geçirilmesi ve analizi
ile ilgili usullerin olup olmadığı(Güvenlik Duvarı ve Diğer Raporlar)
Veri gizliliğini ve bütünlüğünün sağlandığını ve yürürlükteki yasalar ve düzenlemelerle ile iyi uygulamalarla uyumu
sağlamak için uygun ve yeterli usullerin olup olmadığı
AĢağıdaki planlama yönleri var olup olmadıkları açısından incelenmelidir:


Planlanan bilgi sistemleri teknolojisi mimarisinin uygulanabilirdir, güvenli ve sağlam iĢlemler yapabilmektedir.
Beklenmeyen olayların sebep olacağı iç ve dıĢ saldırılar dâhil sorunları yönetmek, en aza indirmek için olay müdahale
planlarının vardır.
115
Ġnternet Bankacılığı (Devam)
G24

―Ġnternet ürün yaĢam döngüsünün‖ varlığı ve bunun internet uygulamalarını geliĢtirme, bakımını yapma ve
güncelleme amacıyla uygulanması

7.2.4.
ĠĢ sürekliliği ve kritik internet bankacılığı süreci ve/veya teslimat sistemleri için acil durum planlarının varlığı ve düzenli
olarak testi
AĢağıdaki bilgi sistemleri altyapısı yönleri var olup olmamaları açısından incelenmelidir:



Altyapı ve sistemler, öngörülen iĢ planına yer açmak için geniĢletmeye olanaklıdır.

Banka, web sitesi ve bankanın iç ağları veya bilgisayar sistemleri arasındaki yolun güvenliğini sağlamak için sağlam
süreçlere sahip olması ve iç ağın uygun bir güvenlik duvarı teknolojisi kullanılarak dıĢ ortamdan uygun bir biçimde
korunmasına sahiptir.




7.2.5.
Banka, internet bankacılığı sistemiyle ilgili yazılım, donanım ve veri iletiĢim araçlarının fiziksel güvenliğini karĢılamak için
yeterli süreç ve kontrollere sahiptir.
Veritabanlarının ve veri akıĢının yetkisiz ve uygunsuz eriĢimden korunmaktadır.
EriĢim noktalarının ve potansiyel saldırı alanlarının tanımlamasını sağlamak için uygun ve yeterli prosedürler vardır.
Otomatik kontrollerin yetersiz oldukları yerlerde uygun manuel dengeleyici kontroller vardır.
Her müĢteri iĢleminin kaydı, müĢterinin kimliğini, iĢlem numarasını, iĢlem türünü, iĢlem miktarını ve pazarlama gibi diğer
kontrol amaçları ve iĢ birimleri için eğer kaydedilmiĢ ve arĢivlenmiĢ ise diğer ilgili bilgileri de içerir.
AĢağıdaki telekomünikasyon altyapısı noktaların olup olmadığı konusunda incelenmelidir:


Ağ mimarisi, internet bankacılığı faaliyetlerinin doğası, zamanlaması ve sınırı için uygundur.

Bankanın, güvenlik duvarı sunucularına ve unsurlarına, eriĢimi sınırlamak için fiziksel kontrollerin yeterliğini
değerlendirmek için bankanın etkili bir süreci vardır



Yetkisiz giriĢ belirleme sistemleri ve virüs kontrol sistemleri/usullerinin varlığı

7.2.6.
Bilgi güvenlik mimarisi, internet bankacılığı modelinin doğası için tanımlanmıĢ ve uygundur.
Kullanılan ağ protokollerinin amaç için uygundur(Örneğin ödeme veya fon aktarımlarının internet bankacılığı yoluyla
kabul edilip edilmemesi, güvenli protokoller kullanılmalıdır).
Ġç veya dıĢ ağların yeterli sızma testleri, yerindedir.
Ağ boyunca yapılan iletiĢim, ―sanal özel ağlar‖ (=VPN) ve uygun ve gerekli olduğu yerde ilgili kriptolama teknikleri
kullanılarak güvenlik sağlanmıĢtır.
Ağ boyunca verilerin korunması amacıyla yeterli ve güçlü kriptolama algoritmalarının seçilmiĢtir.
AĢağıdaki yetkilendirme konuların olup olmadığı konusunda incelenmelidir:

Kontrol özellikleri, potansiyel müĢterilerin interneti kullanarak yeni bir krediye baĢvurmaları ve/veya mevduat hesapları
için interneti kullanmalarını doğrulamak için oluĢturulmuĢtur.

Kontrol özellikleri, mevcut müĢterilerin kimlik doğrulamasını, veri bütünlüğünü ve iĢlemlerin gizliliğini sağlamak için
sistemlerin içerisinde yapılandırılmıĢtır.

ĠĢlem yapanın kimlik doğrulama usulleri, gerektiğinde dijital sertifikaları ve dijital imzalar kullanılarak iĢlem yapan taraf
eĢsiz ve pozitif olarak tanımlamakta kullanılmaktadır.

Ġnkar edilemezlik, iĢlemlerin internet bankacılığı kullanılarak gerçekleĢtirildiği yer ve durumlarda muhtemel sonraki iĢlerde
ve yasal kullanımı sağlar.

7.2.7.
Ġnternet bankacılık sisteminin hata tolerans özellikleri, sistemin doğası, hacmi ve kritikliği ile uyumludur.
AĢağıdaki üçüncü taraf hizmet sağlayıcı özelliklerinin olup olmadığı incelenmelidir:

Zorunlu mesleki özen, üçüncü taraf hizmet sağlayıcı ile sözleĢme iliĢkisine girmeden önce yeterlilik ve finansal
yaĢayabilirliğin gözden geçirmelerinde uygulanmıĢtır.

Üçüncü taraf hizmet sağlayıcılarla yapılan sözleĢmeler, bankanın ve müĢterilerinin çıkarlarını yeterli derecede koruyor
olması ve banka organizasyonu, her bir tarafın sorumluluğunun uygun bir Ģekilde tanımlanması ve belirlenmesini
sağlamak için satıcı sözleĢmelerinin gözden geçirilip geçirilmediğinin belirtilmesidir.

Banka organizasyonu, üçüncü taraf hizmet sağlayıcılardan bilgi sistemleri ve teknolojileriyle ilgili satıcı yönetim
süreçlerinin ve özel tedarikçi iliĢkilerinin değerlendirilmesi, tüm dıĢ kaynaklardan sağlanan sistemlerin ve faaliyetlerin,
bankanın kendi standartlarını karĢılayıp karĢılaması için risk yönetimi, güvenlik ve gizlilik politikalarının tabi tutulup
tutulmadığını anlamak için iç ve dıĢ denetim raporlarını alır ve gözden geçirir.

Banka örgütü, üçüncü taraf hizmet sağlayıcılarını güvenlik, iç kontrol ve iĢ sürekliliği ve acil durum planlarını denetimi ve
bağımsız değerlendirme gerçekleĢtirme hakkı vardır.

Üçüncü taraf hizmet sağlayıcıların güvenlik usulleri, internet bankacılığı çözümünün, internet hizmet sağlayıcı (ISP),
sertifikasyon yetkilisi (CA), kayıt yetkilisi (RA), web hosting/alan sağlayıcılığı sahipliği gibi üçüncü taraf hizmet
sağlayıcılara bağlı olduğu durumlarda uygun ve yeterlidir.
116
Ġnternet Bankacılığı (Devamı)
G24

7.2.8.
7.2.9.
7.2.10.
7.2.11.
Üçüncü taraf hizmet sağlayıcılar, önemli internet bankacılığı süreçleri ve/veya sunum sistemlerinin düzenli olarak test
edildiği ve test sonucu raporlarının bir örneği bankanın alınması için uygun iĢ sürekliliği ve acil durum planlarına sahiptir.

Banka, bir satıcıdan yazılım ürününün sağlandığı yerde yazılımın düzenli olarak güncelleĢtirildiğini doğrulamak için
yazılım güncelleme anlaĢmasıyla satıcı tarafından yazılımın güncellenmesi sağlayan yeterli bir süreci vardır.

GeliĢtirilen ve uygulanan güvenlik mimarisi çözümünün değerlendirilmesi için internet uygulamalarının uygulama öncesi
üçüncü tarafların görüĢlerinin araĢtırılmıĢtır.
Gerekli ve bankayla anlaĢılan durumlarda, verilerin toplanması, analizi ve yorumlanmasında dıĢ uzman kullanılmalıdır.
Çıkarımlar ve öneriler, verilerin tarafsız analizi ve yorumlara dayandırılmalıdır.
Uygun denetim kayıtları, toplanan veriler tutulmalı ve korunmalıdır, düzeltici adımlar atılmalı, analizler yapılmalı ve sonuçlara
varılmalıdır.
Raporu bitirmeden önce, eğer uygun ise gözlemler ve öneriler paydaĢlar, yönetim kurulu ve banka yönetimiyle birlikte
doğrulanmalıdır.
8.
RAPORLAMA
8.1.
8.1.1.
Rapor Ġçeriği
BS Denetçisi, kullanılan teknolojiler, öngörülen riskler ve bu risklerin nasıl yönetildiğiyle ilgili düzenli raporlar oluĢturmalıdır.
Sistem performans izlemesi, önemli bir faktördür. Kapsamın içeriğine bağlı olarak, internet bankacılığının gözden geçirilmesi
konusundaki raporlar, eğer uygun ise aĢağıdaki konuları kapsamalıdır:

Ġzlenen kapsam, amaçlar, yöntemler ve varsayımlar

Ġnternet bankacılığı süreci/sistemleri çözümlerinin anahtar zorluklar ve zayıflıklar ve muhtemel etkileri açısından
tamamının değerlendirmesi

Önemli zayıflıkların üstesinden gelmek için ve internet bankacılığı sisteminin geliĢtirilmesi için öneriler

Bankacılıkla ilgili yürürlükteki yasalar ve düzenlemelerle uyum ve uyumsuzlukların etkileri

COBIT bilgi kıstaslarıyla uyumun sınırları ve herhangi bir uyumsuzluğun etkisiyle ilgili bildirimler

Ġncelemeyle elde edilen derslerin gelecekteki çözümleri ve faaliyetleri geliĢtirmelerde nasıl kullanılacağı ile ilgili öneriler
9.
YÜRÜRLÜK TARĠHĠ
9.1.
Bu rehber bütün bilgi sistemlerinin denetimlerinde 1 Ağustos 2003‘ten itibaren geçerlidir. Terimlere dair tam bir sözlükçe,
ISACA‘nın web sitesinde (www.isaca.org/glossary) bulunabilir.
EK
COBIT Referansı
Özel denetim kapsamına uygulanacak en ilgili COBIT materyalinin seçilmesi, belli COBIT BT sürecinin seçilmesine ve dikkate alınan
COBIT bilgi kıstaslarına bağlıdır.
Bu belli denetim alanında, Ġnternet Bankacılığı Ġncelemesi, en ilgili COBIT süreci Ģunlardır: seçilmiĢ Plan ve BT Süreçlerinin
Organizesi, seçilmiĢ BT Süreçlerinin Edinilmesi ve Uygulanması, seçilmiĢ Sunum ve Destek, seçilmiĢ Ġzleme ve
Değerlendirmedir. Bu yüzden aĢağıdaki süreçler için COBIT Rehberi denetim yapılırken göz önünde bulundurulmalıdır:














PO1-Stratejik BT planının belirlenmesi
PO3-Teknolojik yönün belirlenmesi
PO8-DıĢ gerekliliklerle uyumun sağlanması
PO9-Risklerin değerlendirilmesi
AI2-Uygulama yazılımı edinilmesi ve bakımı
AI3-Teknoloji altyapısını edinilmesi ve bakımı
AI4-Usul geliĢtirmesi ve sürdürülmesi
AI5-Sistem kurma ve akredite etme
AI6-DeğiĢiklik yönetimi
DS1-Hizmet seviyelerini belirleme ve yönetme
DS2-Üçüncü taraf hizmetlerini yönetme
DS3-Performans ve kapasite yönetimi
DS4-Hizmet Sürekliliğini Sağlamak
DS5-Sistemlerin Güvenliğini Sağlamak
117
G24





Ġnternet Bankacılığı (Devamı)
DS8-MüĢterilere destek ve öneriler
DS10-Sorun ve vaka yönetimi
DS11-Veri yönetimi
M1-Süreç izleme
M2-Ġç kontrol yeterliğini değerlendirme
Ġnternet Bankacılığının denetimiyle en ilgili bilgi kıstasları Ģunlardır:


Birincil: EriĢebilirlik, uyumluluk, gizlilik ve bütünlük
Ġkincil: Verimlilik ve etkinlik
KAYNAKLAR
­ An Internet Banking Primer, Federal Reserve Bank of Chicago, USA Basle Directive N° 82, Risk Management Principles for
Electronic Banking, Basel Committee on Banking Supervision, May 2001, Switzerland
­ Basle Directive N° 86, Sound Practices for the Management and Supervision of Operational Risk, Basel Committee on Banking
Supervision, May 2001, Switzerland
­ Basle Directive N° 91, Risk Management Principles for Electronic Banking, Basel Committee on Banking Supervision, July 2002,
Switzerland
­ BIS Papers N° 7. Electronic finance: a new perspective and challenges, Monetary and Economic Department, Bank for
International Settlements, November 2001, Switzerland
­ Cronin, Mary J., Banking and Finance on the Internet, John Wiley & Sons, Inc., ISBN 0-471-29219-2, USA
­ Essinger, James, The Virtual Banking Revolution, Thomson Business Press, ISBN 1-86152-343-2, United Kingdom
­ Internet Banking Comptroller‘s Handbook, Comptroller of the Currency Administrator of National Banks, October 1999, USA
­ Furst, Karen, William W. Lang and Daniel E. Nolle, Internet Banking: Developments and Prospects, Economic and Policy
­ Analysis Working Paper 2000-9, Office of the Comptroller of the Currency, September 2000, USA
­ The Internet and the National Bank Charter, Comptroller of the Currency Administrator of National Banks, January 2001, USA
­ Treatment of material on overseas Internet world wide web sites, accessible in the UK but not intended for investors in
the UK, Financial Services Authority, United Kingdom
118
G25
Sanal Özel Ağların Gözden Geçirilmesi
1.
ARKA PLAN
1.1.
1.1.1.
Standartlarla Bağlantı
S6 Denetim ĠĢinin Yürütülmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini
baĢarmak için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu
kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir.
G16 Üçüncü Kurumsal BT kontrollerinde Üçüncü Tarafların Etkileri Rehberi, yol göstericilik sağlar.
G17 BS Denetçisinin Bağımsızlığında Denetim-dıĢı Rollerin Etkileri Rehberi, yol göstericilik sağlar.
1.1.2.
1.1.3.
1.2.
1.2.1
COBIT Bağlantısı
CobIT Çerçevesi―Kurumun tüm varlıklarını korumak yönetimin sorumluluğudur. Bunu yerine getirmek için yönetim
yeterli bir iç kontrol sistemi kurmalıdır.‖ Ģeklinde ifade eder.
1.2.2.
COBIT Yönetim Rehberi, sürekli ve ileri dönük öz-değerlendirme için yönetim odaklı bir çerçeve sağlar. Bu çerçeve özellikle
aĢağıdaki noktalara odaklanmıĢtır:




1.2.3.
1.2.4.
1.2.5.
1.2.6.
Performans ölçümü-BT iĢlevi iĢin gereksinimlerini ne derecede desteklemektedir?
BT kontrol profili-Hangi BT süreci önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?
Farkındalık-Amaçlara ulaĢamama riskleri nelerdir?
KarĢılaĢtırma-Diğerleri ne yapmaktadır? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir?
Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar
performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin,
süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk
özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite
değerlendirmesi ve karĢılaĢma sağlar.
Yönetim Rehberleri, kendini değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası
olarak sürekli izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.
COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol teknikleri sağlar. Özel denetim alanına uygulanacak
COBIT‘teki en ilgili materyalin seçilmesi, özel COBIT BT süreçleri, kontrol hedefleri, yönetim kontrol uygulamalarıyla
bağlantısı ve ilgili COBIT bilgi kıstaslarının seçimine bağlıdır.
Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ekinde yer alan
COBIT kaynakları göz önünde bulundurulmalıdır.
1.3.
1.3.1.
Rehber Gereksinimi
Bu Rehberin amacı, sanal özel ağların (VPN) incelenmesinde ve inceleme sırasında BS Denetim Standartlarına uyulmasının
sağlanmak için önerilen uygulamaları tanımlamaktır.
2.
SANAL ÖZEL AĞ (VPN)
2.1.
2.1.1.
Tanım
Sanal Özel Ağlar—Ağ Güvenliğinde Yeni Sorunlar, BT Yönetim Enstitüsü tarafından yayınlanmıĢtır, sanal özel ağları
―Ġnternet veya ağ hizmet sağlayıcılar tarafından sağlanan kamuya açık veya paylaĢılan ağlar yoluyla kiĢisel iletileri
taĢıyan sanal devrelerden oluĢan bir ağ‖ diye tanımlamaktadır. Bu Rehberin amacı için bu tanım kullanılmıĢtır.
VPN bağlamında ―Tünel‖ ve ―Tünelleme‖ terimleri sıkça kullanılmıĢtır. Aksi durumda aktarılamayacak olan verilerin,
aktarılabilmesi için bir paketin diğer paketin içine alınması sürecine tünelleme denir. Ġç içe alınmıĢ paketlerin internette sanal
özel ağlarda izledikleri yola da tünel denir.
2.1.2.
2.2.
2.2.1.
Sanal Özel Ağ (VPN) Modelleri
Dağıtım için üç adet yaygın VPN modeli vardır. Modeller arasındaki ana farklılıklar son hizmet noktalarında veya tünel son
noktalarında, gereken yönetim seviyelerinde, hizmet kalitesinde ve doğrudan hizmet sağlayıcı üzerindeki güvendedir. En
yaygın üç model Ģunlardır:



2.2.2.
Saf sağlayıcı modeli
Melez sağlayıcı modeli
Uçtan-uca model
Saf sağlayıcı modelde, VPN‘lerin iĢlevselliği kurumun ağına değil de hizmet sağlayıcının altyapısına bina edilmiĢtir. Model
sıklıkla bir hizmet sağlayıcının ağına yerleĢtirilmiĢtir. Kurumun ağıyla hizmet sağlayıcının ağı arasında keskin bir ayrım vardır.
Kurumun ağına uzaktan eriĢim tipik olarak tahsis edilmiĢ bir devre yoluyla sağlanmıĢtır (T1, T3‘teki gibi). MüĢteri, ağdaki VPN
bağlantılı donanım ve yazılıma uzaktan eriĢime sahiptir ve bunları iĢletir; bununla birlikte hizmet sağlayıcının ağındaki
donanım ve yazılım hizmet sağlayıcı tarafından sahiplenilir ve iĢletilir. Hizmet sağlayıcı VPN tünellerini ağ boyunca uçtan-uca
baĢlatır ve güvenliğin her iki ucunda da özel devrelere güvenir. Bu modelde sağlayıcı, ağ üzerinde yüksek seviyede bir
kontrole sahiptir ve kapasite planlama, tasarlama, yapılandırma, tanılama ve sorun taramadan sorumludur.
119
G25
Sanal Özel Ağların Gözden Geçirilmesi(Devamı)
2.2.3.
Melez sağlayıcı modeli, hem kurumun hem de hizmet sağlayıcının ağlarını iĢin içine alır. Bir VPN tüneli, sağlayıcının
ağından baĢlatılır ve tünel kurumun ağında sona erdirilir. Bu modelde hizmet sağlayıcı, kullanıcıların kimlik doğrulaması
yapıldıktan sonra uzak kullanıcıların VPN tünellerinin baĢlamasından sorumludur. Uzak kullanıcı, kurumun ağına ulaĢınca
giriĢ izni için ikinci bir doğrulama istenebilir. Kullanıcılar, doğrulama yapıldıktan sonra kuruluĢun yerel ağ alanına (LAN)
doğrudan bağlıymıĢlar gibi ulaĢabilirler.
Uçtan-uca modelde, hizmet sağlayıcı VPN verilerinin sadece aktarım aracı olarak hizmet verir. Hizmet uç noktalarına veya
tünellemeye, masaüstü veya çok sayıda masaüstüne hizmet veren bir proxy VPN aracı olabilir. Bu model uzaktan eriĢim için
veya çok sayıda siteleri bağlamak için kullanılabilir.
2.2.4.
2.3.
2.3.1.
VPN Kullanımı
Bir VPN‘yi kullanmak için çeĢitli yollar vardır. En yaygın olanları aĢağıdadır:



2.3.2.
2.3.3.
2.3.4.
2.4.
2.4.1.
2.4.3.
2.4.4.
2.4.5.
2.4.6.
2.5.
2.5.1.
GeniĢletilmiĢ kuruluĢ dıĢ ağ bağlantısı
VPN Yapısı
VPN kurmak için birçok seçenek vardır. Bir ağ hizmet sağlayıcısının sunduğu VPN, bir kurumu internete bağlamanın en
yaygın yollarından biridir. Herhangi bir kurumdaki VPN yapısı aĢağıdakilerden bir veya birkaçını içerebilir:
Güvenlik duvarı temelli VPN
Yönlendirici temelli VPN
Uzaktan eriĢim temelli VPN
Donanım (kara kutu) temelli VPN
Yazılım temelli VPN
Güvenlik duvarı temelli VPN, en yaygınıdır. Birçok kurumun internete bağlanmak için bir güvenlik duvarı kullanıyor
olmasından dolayı kriptolama yazılımı ve bazı diğer yetkilendirme yazılımı eklemek durumundadırlar.
Ġki tür Yönlendirici Temelli VPN, de vardır. Birisinde yazılım, kriptolamanın olması için yönlendiriciye eklenir. Diğerindeyse
üçüncü taraf satıcının sağladığı kart, yönlendirici CPU‘sunda kriptolama süreci için aynı düzleme yerleĢtirilmelidir
Uzaktan eriĢim temelli VPN‘de uzak bağlantıdan birisi Ģifreli bir paket akıĢını veya tüneli oluĢturabilir.
Donanım (kara kutu) temelli VPN‘de satıcı bir kara kutu veya Ģifreli yazılımı içeren bir araç sunar. Bunun amacı bir VPN
tüneli oluĢturmaktır. Kara kutu VPN aracı normalde güvenlik duvarının arkasındadır veya verilerin güvenliğini sağlamak için
güvenlik tarafındadır. Ancak, aslında VPN sistemi güvenlik duvarından tamamen bağımsız olabilir.
Yazılım temelli VPN‘de ise yazılım tünelleme veya paketlerin kriptolaması iĢini görür. Yazılım, müĢteri ve sunucuda
yüklüdür. Trafik, kurum içindeki belli bir müĢteriden baĢlar ve uzaktaki bir sunucuyla bağlantı kurar. MüĢteriden ayrılan trafik
kriptoludur ve gideceği yere yönlendirilmiĢtir. Aynı durum, iç ağa bağlanmaya çalıĢan herhangi birisi için de geçerlidir.
VPN Yapılandırması/Topolojisi
VPN‘yi yapılandırırken, parametreler, anahtar uzunluk, sunucu kimlik doğrulaması, bağlantı, boĢ kalınca zaman aĢımı
durumları, sertifika oluĢturma ve anahtar oluĢturma ve dağıtım mekanizmalarına göre ayarlanmalıdır. VPN yapısını
biçimlendirme uygulamasının çeĢitli yolları vardır. Kurumlar, aĢağıdakilerden birimi veya birkaçını kullanabilirler:




2.5.2.
2.5.3.
Uzaktan eriĢim bağlantısı
Siteden-siteye bağlantı, ayrı intranetlerin, büyük bir intranet oluĢturarak, güvenli ve verimli bir biçimde bağlanmalarını
sağlar. Siteden-siteye VPNler, sıklıkla coğrafi olarak dağılmıĢ kurumlarda tek bir sanal ağı oluĢturmada kullanılırlar.
Uzaktan eriĢim bağlantısı, hareket halindeki çalıĢanların internet yoluyla güvenli ağ iletiĢimlerini kullanarak kurumun
intranetine eriĢebilmelerine olanak tanır. Bu yapı, küresel çevirmeli ağ, kablosuz ve geniĢ ağ ISPleri ile birlikte kullanılır.
Birçok kurum, uzaktan eriĢim VPNlerini çalıĢanlarına düĢük ücretli ağ eriĢimi sağlamak için kullanır.
GeniĢletilmiĢ kuruluĢ dıĢ ağ bağlantısı, kurumun dıĢındaki ağlara bağlantı sağlar. ĠĢ, araĢtırma veya pazarlama ortakları
sıklıkla bunları güvenli bağlantılar yoluyla iletiĢimleri hızlandırmak amacıyla kullanırlar. Genel olarak dıĢ ağlar, ağdan-ağa
trafiğe izin vermek, yönetmek ve izlemek amacıyla daha güçlü kontrollere sahiptir. Ġç ağ ise dıĢ ağdan güvenlik duvarları
yoluyla korunur.





2.4.2.
Siteden-siteye bağlantı
Güvenlik duvarından müĢteriye
Yerel ağdan yerel ağa (LANLAN)
Güvenlik duvarından iç ağa/dıĢ ağa
Yazılım ve donanım VPN‘si
Güvenlik duvarından müĢteriye, en yaygın topolojidir ve iç ağa çevirmeli olarak bağlanan uzak kullanıcılara uyar.
Yerel ağdan yerel ağa (LANLAN), ikinci en çok kullanılan topolojidir. Ġki site arasında bir VPN tüneli oluĢturulunca,
güvenlik duvarının topolojisini uzak ofislere ve ofisler, ortaklar ve tedarikçiler arasında yayabilir.
120
G25
Sanal Özel Ağların Gözden Geçirilmesi(Devamı)
2.5.4.
Güvenlik duvarından iç ağa /dıĢ ağa topolojide, intranetler çalıĢanlar, dıĢ ağ ise müĢteriler, ortaklar ve tedarikçiler
tarafından kullanılır. Uzak kullanıcılar, sunucuya eriĢmeye çalıĢtıklarında hangi sunucuya bağlanacakları konusunda karar
vermek gereklidir.
Donanım ve yazılım VPN‘leri, tek baĢına ayakta durabilen araçlardır ve VPN teknoloji algoritmalarını uygulamak için
tasarlanmıĢlardır. Bir VPN aracı normalde bir güvenlik duvarının arkasındadır. Veri paketleri güvenlik duvarı ve VPN aracı
yoluyla akıĢ yapar. Bu sırada kriptolanabilirler. Genellikle yazılım kriptolama modelleri, SSL protokollerine benzer, özel
araçlar istenmez ve paket akıĢı, yazılım tarafından kriptolanır.
VPN teknolojileri ve protokolleri aĢağıdakileri içerir:
2.5.5.
2.5.6.




PPTP (uçtan uca tünelleme protokolü)
L2TP (katman 2 tünelleme protokolü)
IPsec (Ġnternet protokolü güvenliği)
SSL (güvenli soket katmanı)
3.
VPN‘LERLE ĠLGĠLĠ RĠSKLER
3.1.
3.1.1.
Risklerin çeĢitleri
VPN, üçüncü taraf hizmetlerini kullanan kurumlar için bir iletiĢim
sınıflandırılabilir:





3.2.
3.2.1.
3.3.
3.3.1.
Güvenlik Riski
Üçüncü Tarafın Riski
ĠĢ Riski
Uygulama Riski
Faaliyet Riski
Güvenlik ve Hukuki Risk
Güvenlik risklerinin VPN‘ler ile iliĢkisi aĢağıdakileri içerir:




VPN‘lerin kullanımından doğan güvenlik ve hukuki risklerin yetersiz değerlendirilmesi

Gizlilik, bütünlük, inkar edilemezlik ve/veya eriĢebilirlik sorunlarından sonuçlanabilecek uygulamaların eksikliği
VPN‘lerden kaynaklanan bilgi varlıklarına karĢı risklerin azaltılması için yetersiz güvenlik programları
VPN‘e girmeden önceki veya VPN‘nin terk edildiği noktada veri koruması
Belli bir ağ yolu üzerinde kriptosuz durumdaki verilerin güvenliğinin baĢarısızlığa uğraması (Kriptolama aracından önce
iç ağlar veya kriptolamadan aygıtından sonra dıĢ ağlar)
Üçüncü Taraf Riski
Üçüncü taraf hizmet sağlayıcılara duyulan güven aĢağıdakine benzer risklerle sonuçlanabilir:








3.4.
3.4.1.
mimarisidir, bununla ilgili riskler aĢağıdaki gibi
Uygun olmayan bir hizmet sağlayıcının seçilmesi
ĠliĢkilerin yetersiz yönetimi
Hizmet seviye anlaĢmalarında (SLA) ve ölçümlerde yetersizlikler
Yetersiz yönetiĢim ve yönetim süreçlerinin yetersizliği
Hizmet seviye anlaĢmalarının (SLA) ölçütlerin ölçülmesinin ve izlenmesinin yetersizliği
Yetersiz yedekleme/AĢırı yedekleme stratejisi
ĠliĢki ve hizmetlerin karĢılaĢtırılmasının yetersizliği
VPN‘deki verilere eriĢimin suiistimali
ĠĢ Riski
AĢağıdaki gibi riskler yönetimin veya iĢten beklenen Ģeylerin baĢarısızlığa uğramasına sebep olabilir:






ĠĢ stratejisine yetersiz uyum
Yetersiz maliyet tasarrufu
Güvenlik gereksinimlerine ulaĢmada baĢarısızlık
Kullanım kolaylığı yetersizliği
Kullanıcı gereksinimlerinin kapsamı ve ölçümünde baĢarısızlık
Kurum veya süreçlerin diğer alanlarında hizmette kaybı veya kötüleĢmesi olması
121
25
3.5.
3.5.1.
Sanal Özel Ağların Gözden Geçirilmesi(Devamı)
Uygulama Riski
Etkisiz ve yetersiz çözümlerin uygulanmasına aĢağıdaki gibi risklere yol açabilir:









3.6.
3.6.1.
Ġlk tasarımında yatırıma yeteri kadar dikkat edilmemesi
Kurum için uygun olmayan VPN modelinin seçilmiĢ olması
Gerekli olduğu halde üçüncü tarafların kullanımının yetersizliği
Tasarımda güvenliğe yeterli özenin verilmemesi
Kurtarma süreçlerinin yetersizliği
Hizmet seviye beklentilerinin ve ölçümlerin tasarımında baĢarısızlık
Uygun olmayan bütünleĢtirme stratejisi
Yetersiz değiĢim, proje veya uygulama yönetim süreçleri
VPN müĢterisi riski (Aynı arayüz internet ve VPN trafiğini kabul eder)
Faaliyet Riski
AĢağıdaki gibi riskler etkisiz ve yetersiz VPN kullanımına/iĢletimine sebep olabilir:








Etkin bir biçimde iĢlemek için gereken kaynakların yetersizliği

ĠĢlem parametrelerinde veya verilerde gizliliğin eksikliği
Güvenirlik eksikliği
Hizmet kalitesinin zarar görmesi
Birlikte çalıĢabilirliğin eksikliği
Kapsamda baĢarısızlık
Yetersiz kapasite
Gereksiz yedekleme veya yedekleme sağlamada baĢarısızlık
ĠĢ amaçları için personelin (evden eriĢim gibi) kiĢisel araçların kullanımı (Güvenlik yapılandırmaları, virüs korunma
yazılımı, kiĢisel güvenlik duvarı gibi eksiklikler)
4.
YÖNETMELĠK
4.1.
Görevlendirme
4.1.1.
BS Denetçisi, bir VPN‘nin incelemesine baĢlamadan önce, kapsamlı gözden geçirme için kurum tarafından zorunlu yazılı
görevlendirmenin veya denetçinin pozisyonundan dolayı zorunlu görevlendirmenin makul güvencesini sağlamalıdır. BS
Denetçisi, kurumun incelemeyi baĢlattığı durumlarda kurumun komisyonun gözden geçirme için uygun yetkilendirdiğine dair
makul güvence sağlamalıdır.
5.
BAĞIMSIZLIK
5.1.
5.1.1.
Mesleki Tarafsızlık
BS Denetçisi, görevi kabul etmeden önce eğer varsa VPN çözümlerinin gözden geçirilmesinin incelemenin tarafsızlığına
herhangi bir Ģekilde BS Denetçisinin çıkarlarının gölge düĢürmeyeceğine makul güvence sağlamalıdır. Herhangi bir
muhtemel çıkar çatıĢması durumunda, bu durum kuruma açık bir biçimde iletilmeli ve kurumun bu çıkar çatıĢmasının
farkında olduğunu belirten yazılı belgeyi görevi kabul etmeden önce sağlamalıdır.
BS Denetçisi, gözden geçirilen VPN ile ilgili denetim dıĢı rollerinin geçmiĢte/halen olduğu durumlarda, G17 BS Denetçisinin
Bağımsızlığında Denetim-dıĢı Rolün Etkisi kılavuzunu göz önünde bulundurmalıdır.
5.1.2.
6.
YETERLĠLĠK
6.1.
6.1.1.
Tecrübe ve Bilgi
BS Denetçisi, VPN‘yi incelemek için zorunlu teknik bilginin makul güvencesini sağlamalıdır. VPN‘nin iĢ gereksinimleri ve
teknik konularının açıkça anlaĢılması, kurumda VPN uygulamasının gözden geçirilmesinde zorunludur..
BS Denetçisi, VPN incelemesini gerçekleĢtirebilmek için ilgili teknik bilgi ve tecrübeye eriĢimin makul güvencesini
sağlamalıdır. VPN incelemesi, kullanılan kriptolama teknolojileri, ağ güvenlik mimarisi ve güvenlik teknolojileri gibi konularda
teknik bilgi gerektirir. BS Denetçisi, bu konuları incelemek için yeterli bilgiye sahip olmalıdır. Uzman girdisi gerekliyse, uygun
girdi dıĢ uzman kaynaklardan sağlanmalıdır. DıĢ uzman kaynakların kullanıldığı gerçeği, kuruma yazılı olarak bildirilmelidir.
6.1.2.
122
G25
Sanal Özel Ağların Gözden Geçirilmesi(Devamı)
7.
PLANLAMA
7.1.
7.1.1.
Yüksek Sevili Risk Değerlendirmesi
BS Denetçisi, iĢ ve VPN için iĢin gereksinimleriyle ilgili yüksek seviyeli risk değerlendirmesi gerçekleĢtirebilmek için bilgi
toplamalıdır.
VPN ile ilgili risklere yukarda üçüncü bölümde, tasarım, uygulama ve uygulama esnasında gibi gözden geçirilecek aĢamaya
bağlı olarak göz önünde bulundurulmalıdır.
COBIT bilgi kıstaslarıyla Ġlgisi-Verimlilik, etkinlik, gizlilik, bütünlük, eriĢebilirlik, uyum ve güvenilirlik-de, inceleme ve
onaylama ihtiyacı ayrıca tanımlanmalıdır.
Ağ Merkezli Teknoloji için Kontrol Hedeflerinin (CONCT) ilgili yönleri, bunlar COBIT kıstaslarının ağ-merkezli ortamlara
(VPNler tarafından desteklenenler gibi) olan uzantıları olduğundan dolayı bu bağlamda göz önünde bulundurulmalıdır.
Bu yüksek seviyeli risk değerlendirmesi, incelemenin kapsamını ve içeriğini belirlemeye yardım edecektir..
7.1.2.
7.1.3.
7.1.4.
7.1.5.
7.2.
7.2.1.
7.2.2.
7.2.3.
7.2.4.
Ġncelemenin kapsam ve Amaçları
BS Denetçisi, uygun olan yerlerde kurumla danıĢarak, VPN incelemesinin amaç ve kapsamını açıkça tanımlamalıdır.
Ġncelemede kapsanacak olan konular, kapsamın bir parçası olarak açıkça belirtilmelidir. 7.1.1.‘de belirtilen yüksek seviyeli
risk değerlendirmesi, hangi alanların gözden geçirileceğine ve gözden geçirmenin kapsam ve derinliğini oluĢturur.
Çözümdeki paydaĢlar, incelemenin amacı için kurumla yapılan anlaĢmada tanımlanmalı ve üzerinde anlaĢılmalıdır.
PaydaĢların her türlü ilgi alanları,eğer uygun ise, incelemenin kapsam ve hedeflerine de dahil edilmelidir.
BS Denetçisi, incelemenin üçüncü tarafları kapsadığı durumlarda denetim ifadesinin sözleĢmede kapsandığına dair güvence
vermelidir.
7.3.
7.3.1.
YaklaĢım
BS Denetçisi, incelemenin amaç ve kapsamının tarafsız ve uzman bir tarzda yürütülecek bir yaklaĢımı biçimlendirmelidir.
Ġzlenecek yaklaĢım, incelemenin ön inceleme, uygulama esnasında inceleme veya uygulama sonrası inceleme olup
olmamasına bağlıdır. YaklaĢım uygun bir biçimde belgelenmelidir. Eğer dıĢ uzmanların girdisi kullanılacaksa bu, yaklaĢımın
bir bölümü olarak belirtilmelidir. Test veya izleme aracının kullanımı planlanmıĢ ise yaklaĢımın bir parçası olarak
belirtilmelidir.
7.4.
7.4.1.
Plan için Harekete Geçme
BS Denetçisi, kurumun uygulamalarına bağlı olarak plan ve yaklaĢım için kurumun iĢbirliğine baĢvurmalıdır.
8.
VPN ĠNCELEMESĠNĠN GERÇEKLEġTĠRĠLMESĠ
8.1.
8.1.1.
Genel
Bu bölüm bir VPN incelemesi sırasında, vurgulanması gereken geniĢ alanlara hitap etmektedir. Belirli bir VPN incelemesi için
inceleme alanları, incelemenin öngörülen kapsam ve amaçlarına göre bu geniĢ alan yelpazesinden seçilmelidir.
VPN incelemesi, incelemenin amaçlarının gerçekleĢmesi için, her tanımlanmıĢ yaklaĢım baĢına yapılmalıdır (uygun yerlerde
yeniden iyileĢtirmelerle).
Genellikle, eldeki belgelerin incelenmesi(ĠĢ anlaĢmaları, sistem belgeleri, sözleĢmeler, servis seviye anlaĢmaları ve sistem
kayıtları) ve paydaĢlar ve hizmet sağlayıcılarla belli konulardaki tartıĢmalar ve gözlemler verileri toplarken, analiz ederken ve
yorumlarken kullanılmalıdır.. BS Denetçisi, uygun olan yerlerde VPN‘deki önemli süreçleri/iĢlevleri amaçlandığını gibi çalıĢıp
çalıĢmadıklarını onaylamak için test etmelidir..
Kurumla yapılan anlaĢmanın uygun yerlerinde, dıĢ uzman girdisi verilerin toplanması, analizi ve yorumlanmasında uygun
Ģekilde kullanılmalıdır.
Çıkarımlar ve öneriler, verilerin tarafsız analizi ve yorumlanmasına dayandırılmalıdır.
Uygun denetim izleri, toplanan veriler, yapılan analizler, varılan sonuçlar, önerilen düzeltici faaliyetler korunmalıdır.
8.1.2.
8.1.3.
8.1.4.
8.1.5.
8.1.6.
123
Sanal Özel Ağların Gözden Geçirilmesi(Devamı)
G25
8.2.
8.2.1.
Uygulama-öncesi Ġnceleme
VPN‘den çözümünün uygulamasından önce yapılan uygulama-öncesi (tasarım esnasında) incelemede aĢağıdakilerin
uygunluğuna bakmalıdır:










8.2.2.
8.3.
8.3.1.
8.3.2.
VPN çözümünün gereksinimleri
Önerilen çözümün maliyet ve faydası
VPN modeli, VPN yapısı, VPN yapılandırması/topolojisi ve VPN kullanımı gibi önerilen VPN teknolojisi
Önerilen, Ģifreleme teknolojileri dahil, teklif edilen güvenlik yapısı ve özellikleri
Gereksiz yedekleme ve yedekleme araçlarının planlaması
Yönetim onayları
Önerilen proje yönetim yapıları ve izleme mekanizmaları
Hizmet sağlayıcının seçimi için seçim süreci
Önerilen sözleĢmeler, SLAlar ve ölçümler
Var ise uyulması gereken yasal gereklilikler
BS Denetçisi, bu alanları kapsamak için aĢağıdakileri yapmalıdır:















VPN gereksinimlerini incelemelidir-iĢle ilgili ve teknik olarak


COBIT ve CONCT kıstaslarının nasıl gerçekleĢtirildiklerini değerlendirmek
ĠĢ sözleĢmeleri ve onaylarını incelemelidir (maliyet-fayda analizi için)
Teknolojik yönlerin taslağını çizen VPN tasarımı belgesinin incelenmesi
Önerilen çözümün PPTP, L2TP ve IPSec protokollerinden birine uygun olup olmadığının incelenmesi
Önerilen güvenlik mimarisi ve kriptolama teknolojisinin incelenmesi
Fiyatlandırma sürecinin -diğer öneri ve son hizmet sağlayıcı seçiminin teknik ve ticari değerlendirmesi- incelenmesi
Önerilen proje yönetimi yapısının incelenmesi
Önerilen sözleĢmelerin, SLA ve ölçütlerinin incelenmesi
KarĢılanması gereken yasal gereksinimlerin incelenmesi
Teklif edilen yedekleme ve yedekleme sürecinin değerlendirilmesi
VPN‘yi uygulamaların bütünleĢtirmek için önerilen stratejinin incelenmesi
Teknoloji ve güvenlik yönlerinin uygunluğunu değerlendirmek için gereken yerlerde dıĢ uzmanların kullanılması
Önerilen yetiĢtirme planlarının incelenmesi
Ġlgili denetim/inceleme raporlarının incelenmesi
Yukarıdaki maddelerin sonuçlarının risklerini azaltma ve yeterlilikleri açısından değerlendirilmeleri- Güvenlik riski,
üçüncü taraf riski, iĢ riski, uygulama riski ve iĢlem riski
Gereken düzeltici adımların atılabilmesi için incelemeden ortaya çıkan risklerin ve sorunların özellikle belirtilmesi
Uygulama Ġncelemesi
Uygulama incelemesi, uygulama sırasında gerçekleĢir ve uygun Ģekilde aĢağıdaki noktaların bulunup bulunmadığını
vurgular:


Uygulamanın, onaylanmıĢ planlara göre ve belirlenmiĢ zaman takvimi ve maliyete göre ilerleyip ilerlemediği




Kullanılan güvenlik planı ve kriptolama teknolojilerinin dayanıklı ve tasarlandığı Ģekilde olup olmadığı
VPN teknolojisi-VPN modeli, VPN yapısı, VPN yapılandırma/topolojisi ve VPN kullanımının planlandığı gibi uygulanıp
uygulanmadığı
Planlanan yedekleme ve yedekleme araçlarının uygulanıp uygulanmadığı
Gerçek sözleĢmeler, SLAlar ve ölçümlerin, kurumun gereksinimlerine uygunluğu
Varsa-Düzenleyici gereksinimlerin yerine getirilip getirilmediği
BS Denetçisi, yukarıdaki gösterilen konularda aĢağıdakileri yapmalıdır:








Proje ilerleme raporlarını ve toplantı tutanaklarını incelemek
Planlara karĢı teknolojilerin gerçek uygulanmasını değerlendirmek ve var ise sapmaları belirleyerek değerlendirmek,
Çözümün, PPTP, L2TP ve IPSec protokollerinden birine uygun olgun olduğunu onaylamak
Onaylanan tasarıyla uyum için gerçek güvenlik mimarisi ve uygulanan kriptolama teknolojisinin değerlendirilmesi
Üzerinde anlaĢılan asıl sözleĢmelerin, SLA ve ölçümlerin incelenmesi
Saklanacakların ve yedeklemelerinin değerlendirilmesi
VPN ile uygulamaların gerçek entegrasyonunun incelenmesi
Teknoloji ve güvenlik uygunluğunu değerlendirmek için gerekirse dıĢarıdan uzmanların kullanılması
124
G25 Sanal Özel Ağların Gözden Geçirilmesi(Devamı)

Bütün kullanıcı türlerini kapsayan ve kapasite, bant geniĢliği, eriĢim kontrolü ve Ģifreleme gibi alanların belirlenmesi
açısından test ve sistemin taĢınması sürecinin yeterliğinin değerlendirilmesi


OluĢturulmuĢ faturalandırma mekanizmalarının değerlendirilmesi

Önerilen risk azaltma faaliyetlerinin uygulandığını belirlemek amacıyla önceki uygulama öncesi denetim raporlarının ve
diğer ilgili inceleme raporlarının gözden geçirilmesi



8.4.
8.4.1.
Yukarıdaki noktaların sonuçlarının riskleri azaltmak için uygunluk ve yeterliliklerinin değerlendirilmesi -Güvenlik riski,
üçüncü taraf riski, iĢ riski, uygulama riski ve iĢlem riski
COBIT ve CONCT kıstaslarının nasıl gerçekleĢtirildiklerini değerlendirmek
Gereken düzeltici adımların atılabilmesi için incelemeden ortaya çıkan risk ve sorunların özellikle belirtilmesi
Uygulama-sonrası Ġnceleme
Uygulama Sonrası Ġnceleme, VPN‘nin uygulanmasından sonra gerçekleĢir, bu yüzden aĢağıdaki noktaların varlığı
araĢtırmalıdır:






Öngörülen faydalara ulaĢılıp ulaĢılmadığı

Uzaktan bağlanan ve diz üstü kullanan kullanıcıların kiĢisel güvenlik duvarları gibi gerekli güvenlik önlemlerini kullanıp
kullanmadıkları


8.4.2.
Yasal bağlantılarının kullanımdan çıkarılıp çıkarılmadığın, faturalarının saklanıp saklanmadığının, VPN uygulamalarının
artan Ģekilde araçlarının elden çıkarılıp çıkarılmadığının değerlendirilmesi
Tek seferlik maliyetlerin planlandığı gibi ve makul olup olmadığı
Sürekli faturalama iĢlemlerinin makul ve istenen gibi olup olmadığı
VPN teknolojisinin amaçlandığı gibi kullanılıyor olup olmadığı
VPN ve kullanımının -veri sınıflandırma dahil- güvenlik politikaları ve usulleriyle uyum içerisinde olup olmadığı
DıĢ ağlar yoluyla VPN‘ye eriĢimi olan üçüncü tarafların ilgili güvenlik ve gizlilik anlaĢmalarını imzalayıp imzalamadıkları
ve bu anlaĢmalara uyup uymadıkları
Dijital sertifikaların yönetimi için uygun sürecin olup olmadığı,
Hizmet kalitesi (QoS) ve SLA‘lar düzenli olarak ölçülmüĢ, izlenmiĢ ve zamanında önlemek düzenli bir biçimde artırılmıĢ
olup olmadıkları

Verilerin, Ģifresiz bağlantılar dahil uygun usuller kullanılarak giriĢ ve çıkıĢ noktalarında yeterli biçimde korunup
korunmadığı




Virüs kontrolü ve yetkisiz giriĢ tespiti gibi durumlar için uygun güvenlik araçlarının kullanılıp kullanılmadığı.
Hizmetler ve maliyetlerin karĢılaĢtırılabilir ve rekabetçi olup olmadığı
Yedekleme ve yedekleme araçlarının uygun biçimde iĢleyip iĢlemediği
Düzenleyici gereksinimlerin var ise yerine getirilip getirilmediği,
BS Denetçisi, yukarıda gösterilen konuları kapsamak için aĢağıdakileri yapmalıdır:











Proje tamamlama raporunu incelemelidir
VPN teknolojisini gerçek kullanımıyla, onaylı tasarıma uyumluluğu açısından incelemelidir
Çözümün PPTP, L2TP ve IPSec protokollerinden birine uygun olgun olduğunu onaylamalıdır
Sürekli faturalamaları örnekleme bazında incelemelidir.
Güvenlik politikaları ve usulleriyle uyumu örnekleme bazında incelemelidir
Üçüncü taraf eriĢimini ve üçüncü tarafça imzalanan dıĢ ağ eriĢimini ilgilendiren anlaĢmaları incelemelidir
Uzaktan eriĢim ve dizüstü eriĢimi süreçlerini ve laptopların uygun güvenlik ayarları açısından incelemelidir
Asıl SLA‘lar ve ölçümleri -QoS ve bunları izleme sürecini incelemelidir
Ağ boyunca güvenlik uygulamasını kontrol etmek
Yedekleme ve saklama araçlarını test etmek
Hizmetlerin kalitesi
gerçekleĢtirilmesi
ve
görevlerin
makul
güvencesini
125
sağlamak
açısından
düzenli
olarak
karĢılaĢtırmanın
Sanal Özel Ağların Gözden Geçirilmesi(Devamı)
G25




Gerekli ise teknoloji ve güvenlik konularının uygunluğunu değerlendirmek için dıĢ uzmanların kullanılması


COBIT ve CONCT kıstaslarının gerçekleĢtirilip gerçekleĢtirilmediğinin değerlendirilmesi
VPN çözümleriyle ilgili konuların testi için uygun araçların kullanılması
VPN‘yi destekleyen yardım masası sürecinin incelenmesi
Yukarıdaki maddelerin sonuçlarının, riskleri azaltmada uygunlukları ve yeterliliklerinin değerlendirilmesi -Güvenlik riski,
üçüncü taraf riski, iĢ riski, uygulama riski ve iĢlem riski gibi.
Gereken düzeltici adımların atılabilmesi için incelemeden ortaya çıkan risk ve konuların özellikle belirtilmesi
9.
RAPORLAMA
9.1.
9.1.1.
Raporun Ġçeriği
VPN‘in gözden geçirme raporu, kapsamın içeriğine bağlı olarak aĢağıdaki konuları vurgulamalıdır:





Ġzlenen amaç, kapsam, yöntem ve varsayımlar
Önemli güçlükler, zayıflıklar ile zayıflıkların muhtemel etkileri açısından çözümün tamamının değerlendirilmesi
Önemli zayıflıkların üstesinden gelinmesi ve geliĢtirici çözümler için öneriler
COBIT ve CONCT kıstaslarına kapsamın uyumun sınırları ve herhangi bir uyumsuzluğun etkileri
9.1.2.
Gelecekteki benzer çözümler veya faaliyetler için bu deneyimin nasıl kullanılabileceğine dair öneriler
Rapor bitirilmeden önce, eğer uygun ise gözlemler ve öneriler kurum ve paydaĢlar ile birlikte onaylanmalıdır.
10.
DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ
10.1.
10.1.1.
AnlaĢılan Ġzleme Faaliyetleri
VPN incelemesinin sonunda, üzerinde anlaĢılan eylemler için tarihler verilmeli ve tamamlanıp tamamlanmadığı izlenmelidir.
Önemli konular, gerekli eylemler için uygun yönetimin dikkatine sunulmalıdır.
11.
11.1.
YÜRÜRLÜK TARĠH
Bu rehber bütün BS Denetimlerinde 1 Temmuz 2004 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın
web sitesinde www.isaca.org/glossary adresinde bulunabilir.
EKLER
COBIT Referansı
En uygun COBIT materyalinin seçilmesi belli COBIT sürecinin seçilmesine ve COBIT bilgi kıstaslarının göz önünde bulundurulmasına
bağlıdır.
ĠletiĢim altyapısı olan bir VPN ile aĢağıdaki noktalar daha ilgilidir:














PO1-Stratejik bir BT planı belirleme
PO3-Teknolojik yol haritasını belirleme
PO5-BT Yatırımlarının yönetimi
PO8-DıĢ gerekliliklerle uyumun sağlanması
PO9-Risk Değerlendirmesi
AI3-Teknoloji altyapısı edinilmesi ve sürdürmesi
AI4-Usulleri geliĢtirme ve sürdürme
AI5-Sistemleri kurulması ve akredite edilmesi
AI6-DeğiĢiklik yönetimi
DS1-Hizmet seviyelerini belirlenmesi ve yönetimi
DS2-Üçüncü taraf hizmetlerini yönetimi
DS3-Performans ve kapasite yönetimi
DS4-Hizmet sürekliliğini sağlama
DS5-Sistemlerin güvenliğinin sağlanması
126
G25 Sanal Özel Ağların Gözden Geçirilmesi(Devamı)




DS9-Konfigürasyon yönetimi
DS12-Tesis yönetimi
DS13-Faaliyet yönetimi
M1-Süreçlerin Ġzlenmesi
Bir VPN‘in gözden geçirilmesinde en uygun bilgi kıstasları Ģunlardır:


Birincil: EriĢebilirlik, gizlilik, verimlilik ve bütünlük
Ġkincil: Etkinlik, güvenilirlik ve uyum
Kaynaklar
Sanal Özel Ağlar-Ağ Güvenliği için Yeni Konular, BT Yönetim Enstitüsü, ABD, 2001
Net-Merkezli Teknoloji için Kontrol Amaçları (CONCT), BT Yönetim Enstitüsü, ABD, 1999
127
G26
ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi
1.
ARKA PLAN
1.1.
1.1.1.
Standartlarla Bağlantı
S6 Denetim ĠĢinin Yürütülmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖ Ģeklindedir.
G17 BS Denetçisinin Bağımsızlığında Denetim DıĢı Rollerin Etkisi Rehberi, yol göstericilik sağlar.
G21 Kurumsal Kaynak Planlaması Sistemleri Ġncelemesi Rehberi, yol göstericilik sağlar.
1.1.2.
1.1.3.
1.2.
1.2.1.
1.2.2.
COBIT Bağlantısı
COBIT Çerçevesi ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek ve
beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder.
COBIT Yönetim Rehberleri, özellikle aĢağıdakilere odaklanan sürekli ve ileri dönük kontrol öz değerlendirmesi için yönetim
eğilimli bir çerçeve sağlar:




1.2.3.
1.2.4.
1.2.5.
1.2.6.
1.3.
1.3.2
1.3.3
1.3.4
Performans ölçümü-ĠĢ gereksinimlerini destekleyen BT iĢlevi ne kadar iyidir?
BT kontrol profili-Hangi BT süreci önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?
Farkındalık-Hedeflere ulaĢmama riskleri nelerdir?
Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülür ve karĢılaĢtırılabilir?
Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar
performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin,
süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk
özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite
değerlendirmesi ve karĢılaĢma sağlar.
Yönetim Rehberleri, kendini değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası
olarak sürekli izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.
COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol teknikleri sağlar. Özel denetim alanına uygulanacak
COBIT‘teki en ilgili materyalin seçilmesi, özel COBIT BT süreçleri, kontrol hedefleri, yönetim kontrol uygulamalarıyla
bağlantısı ve ilgili COBIT bilgi kıstaslarının seçimine bağlıdır.
Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ek kısmında yer alan
COBIT kaynakları göz önünde bulundurulmalıdır.
Rehber Gereksinimi
Ġmalat ve hizmet alanındaki kurumlarının iĢ süreci yeniden tasarımına (BPR) karĢı artan ilgisinin nedeni, bu mühendisliğin
dinamik ve hızlı değiĢen iĢ ortamında sunduğu destektir. BPR, iĢ performansında gerçekten büyük çıkıĢ fırsatları sunar,
ancak risklere de sebep olur, , örneğin yanlıĢ süreç tasarımının seçimi ya da planlanmıĢ değiĢikliklerin yetersiz uygulaması
gibi.
DeğiĢim mühendisliği, sadece iĢ sürecine değil, aynı zamanda yönetim ve destek yapılarına, insanlara, kurumlara, teknoloji
ve bilgi sistemlerine, politikalara ve düzenlemelere dair değiĢiklikleri de kapsar. Bu, iĢ sürecini hızlandırmak için iĢ
sürecindeki temel kontrollerin çıkarılmasının artan bir riski vardır. Bu yüzden, BS Denetçisi, kontrolleri yönetime süreci
yavaĢlatıyor gibi görünmesine rağmen, olasılık ve etkinin ikisinin de kolaylıkla yönetilmesi ve ölçülememesi riskinden
kaçınmanın bir zorunluluk olduğunu, yönetimi haberdar etmeli ve benimsetmelidir.
Bu kılavuzun amacı, BPR projeleri ile ilgili konulara özel dikkat çekerek önemli görev ve ilgili risklerin
değerlendirilmesinde BS Denetçilerine bir çerçeve sağlamaktır.
2.
Ġġ SÜRECĠ YENĠDEN TASARLAMA PROJELERĠ
2.1.
2.1.1.
Tanım
ĠĢ süreci değiĢim mühendisliği ile ilgili evrensel bir tanım bulunmamasına rağmen, en çok alıntı yapılan tanım Hammer ve
Champy tarafından yapılandır: ―Maliyet, kalite, hizmet ve hız gibi kritik, çağdaĢ performans ölçümlerinde ani
geliĢmeler oluĢturmak amacıyla iĢ süreçlerinin radikal olarak yeniden düĢünülmesi ve yeniden tasarımıdır.‖
BPR iĢ sürecini, yapılarını yeniden gözden geçirerek ve yönetildikleri ve uygulandıkları yolu hızla değiĢtirerek geliĢtirmeyi
amaçlar. Bu, normalde sürece dahil olan insanların, uygulamaların iĢlemesi, ve teknolojinin desteklemesi, özellikle bilgi
teknolojinin desteklemesiyle büyük bir etki yapar....
2.1.2.
2.2.
2.2.1.
BPR Anahtar Sonuçları
Bir BPR projesi ,son derece yaygın etkilidir. Etkisi, bütün kurum sürecinde ve iliĢkilerde büyük değiĢikliklere yol açar. BPR
projesinin ana sonuçları, bu yüzden aĢağıdaki gibi özetlenebilir:


Kavramda stratejik
Ürün, hizmet ve faydayı geliĢtirme aracı olarak, değer ve müĢteri gereksinimlerine dayanan sürece odaklı olarak (anahtar
iĢ süreçlerine odaklanarak) yeni iĢ öncelikleri (müĢteri temelli, sonuç odaklı)
128
G26
2.3.
2.3.1.
2.3.2.
ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı)



Kurumun içinde ve dıĢında insanları örgütlemek ve güdülemek için yeni yaklaĢımlar

Kullanıcı ve müĢteriler için yeniden belirlenmiĢ ve kurumun iĢ sürecine daha doğrudan ve etkin katılımlarını sağlayan
roller
2.3.4.
2.4.
2.4.1.
2.4.2.
2.4.3.
2.4.4.
2.4.5.
DıĢarıdan hizmet satın alma, birlikte geliĢtirme, hızlı müdahale, tam zamanında envanter ve destek dahil tedarikçiler için
yeniden belirlenmiĢ roller
BPR Ġlkeleri ve Etkinlikler
Ġlkeler sürecin yapısını değiĢtirmek için gereken yenilikçi düĢünceye yardımcı olurlar, Süreci değiĢtirmek için baĢlıca
seçenekleri düĢündüren ilkeler, BPR projelerinin en zor aĢaması olduğundan değerlidirler.
Hammer tarafından önerilen BPR ilkeleri Ģunlardır:









2.3.3.
Ürün ve hizmetleri geliĢtirmede, üretmede ve teslim etmede teknolojinin kullanılmasına dair yeni yaklaĢımlar
Birkaç iĢ,, bir taneye dönüĢtürülerek bütünleĢtirilmiĢtir.
ÇalıĢanlar karar verirler
Bir süreçteki adımlar, doğal sırasında gerçekleĢtirilir
Süreçlerin, çok sayıda sürümü vardır
ĠĢ, en çok anlam kazandığı yerde gerçekleĢtirilir
Gözden geçirme ve kontroller azaltılmıĢtır (Kritik kontroller, uygulanırken )
Mutabakatlar, en aza indirilmiĢtir.
Bir olay yöneticisi, tek iletiĢim noktasını oluĢturur
Melez, merkezileĢtirilmiĢ/yerel iĢlemler yaygındır
Carter ve Handfield kapsayan diğerleri, BPR faaliyetlerini sıralamasını izleyen Ģekilde gerçekleĢtirmeyi önerirler:
1)
BasitleĢtirme (Değer katmayan faaliyetlerin göz ardı edilmesi), 2) Standardizasyon, 3) BütünleĢtirme, 4) Paralelizm,
5) DeğiĢiklik kontrolü, 6) Kaynak dağıtımı, 7)Otomasyon. Carter ve Handsfield BPR sürecinin 1‘den 7‘ye adımları,
örneğin, ilk olarak basitleĢtirmeyi düĢünmeden BT uygulamalarıyla bir süreci otomatize etmeye kalkıĢmak hem basitleĢtirme
otomasyonu gereksiz hale getireceğinden hem de otomasyonun bütün faydalarının gerçeklememesinden dolayı yanlıĢ
olacaktır. Bunlar birbirlerinin eksik iĢlev göstermelerine ve alınabilecek yararların da alınmamasına sebep olacaktır kesin bir
sıra içinde ele almalarını belirtir.. Bununla birlikte sırlamanın sıkı bir biçimde sınırlandırmanın tehlikesi de vardır. Örneğin,
değiĢik kaynak gerektiren faaliyetlerin bir etkinlikte tek bir kiĢi tarafından yapılmak üzere bütünleĢtirilmesi bazen sadece
otomasyon sayesinde olur.
Bazen bütüncül bir inceleme/bakıĢ en iyi yaklaĢımdır.
BPR Yöntemi
DeğiĢim mühendisliği, yüksek oranda durumsal ve yaratıcıdır. Temel olarak literatürde iki farklı BPR yaklaĢımı vardır.
Hammer ve Champy‘nin tanımladığı yöntem, BPR takımının stratejik amaçlara nasıl odaklanması gerektiğini bildiren bir
yukarıdan aĢağı yaklaĢımdır. Olması gereken süreç konusunda ana vurgu, yazarlarca sunulan değiĢiklik felsefesi adımlarıyla
tutarlılıktır.
Harrington tarafından ana hatları çizilen tedrici değiĢim yöntemi aĢağıdan yukarıya bir yaklaĢımdır. Bu yaklaĢım var olan
süreciyi anlamak amacıyla modellemeyi ve sonra stratejik amaçların karĢılanması amacıyla verimliliğinin artırılmasını
savunur. Odak noktası, var olan süreci geliĢtirmek amacıyla fırsatları tanımlayarak sürecin değiĢtirilmesidir.
BPR takımı, genellikle uygulamada, karıĢık bir yaklaĢımını uyarlaması gereklidir. Eğer, yukarıdan aĢağıya yöntemi temel
olarak alınırsa geçerli iĢlevselliği anlama gereksinimi ve kullanılan yoldan diğer yola geçiĢ yolunu dikkatlice tanımlama
gerekliliği vardır. AĢağıdan yukarıya yönteminde, BPR takımları mevcut süreci ayrıntılandırmak için çok fazla zaman
harcayarak yenilikçi düĢünceyi kaybedebilirler. Karma bir yaklaĢım, takıma, mevcut sürecin ayrıntılarıyla uğraĢmadan yüksek
seviyede değiĢiklikleri düĢünmek için cesaretlendirecektir.
Bir BPR çalıĢmasının alt süreci geliĢtirmek amacıyla daha ayrıntılı projeler için sadece göreceli küçük değiĢiklikler gerektiren
önerilere yol açabileceğinin bilinmesi önemlidir. (Örneğin, bazı darboğazların giderilmesi gibi).
2.5.
DeğiĢik BPR Yöntemleri için Altı Temel Adım
2.5.1.
Ġmgelemek-Bu adım tipik olarak bir BPR proje Ģampiyonunun üst yönetimin desteğini alınmasını gerektirir. Firmanın, süreci
konusunda bilgi sahibi üst seviye yöneticileri de içeren bir yetki gücü, firmanın - tüm performansını geliĢtirmeyi ümit ederek
iĢ süreçlerinin ve BT fırsatlarının gözden geçirmesine dayanan iĢ süreci geliĢtirmelerini yönlendirmek amacıyla yetkilendirilir.
BaĢlatmak-Bu safha, değiĢim mühendisliği takımının görevlendirilmesini, performans hedeflerinin oluĢturulmasını, projenin
planlanmasını ve paydaĢların/çalıĢanların bilgilendirilmesini ve satın alınmasını kapsar. Bir iĢ konusunda, sıklıkla bir
karĢılaĢtırma, dıĢ müĢteri ihtiyaçlarının tanımlanması ve fayda maliyet analizi aracılığıyla değiĢim mühendisliği geliĢtirerek
baĢarılabilir.
TeĢhis Etmek-Bu aĢama, geçerli sürecin ve alt sürecinin faaliyetler, kaynaklar, iletiĢim, roller, BS ve maliyet gibi
unsurlarının ıĢığında belgelendirmesi olarak sınıflandırılır.Süreç gereksinimlerinin tanımlanması ve müĢteri değerinin
belirlenmesinde, sorunlar için sebep sonuç analizi ve değer katmayan faaliyetlerin temel sebepleri de tanımlanır.
Yeniden Tasarlamak-Yeniden tasarım sürecinde, yeni bir süreç tasarımı geliĢtirilir. Bu amaca, süreç tasarımının
alternatiflerinin, beyin fırtınası ve yenilik teknikler yoluyla bulunmasıyla ulaĢılır. Bu yeni tasarım, stratejik amaçları karĢılaması
ve insan kaynakları ve BS mimarisinin uyumunu sağlar. Yeni sürecin belgelendirmesi ve prototiplenmesi yapılır ve yeni
süreci desteklemesi için yeni bilgi sistemlerinin tasarımı tamamlanır.
2.5.2.
2.5.3.
2.5.4.
129
G26
ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı)
2.5.5.
Yeniden Yapılandırmak-Bu aĢama, ağırlıklı olarak yeni sürecin sorumluluklarına ve insan kaynaklarının doğru bir geçiĢin
makul güvencesini sağlamak için değiĢiklik yönetim tekniklerine dayalıdır. Bu aĢama boyunca, BT platformu ve sistemleri,
uygulanır ve kullanıcılar eğitim ve geçiĢ sürecinden geçerler.
Değerlendirme-BPR yönteminin son aĢaması, hedeflerin baĢarılıp baĢarılmadığını saptamak için yeni süreçlerin izlenmesi
gereklidir ve sıklıkla toplam kalite programıyla iliĢkilendirilmesini gerektirir.
2.5.6.
2.6.
2.6.1.
2.6.2.
2.7.
2.7.1.
2.7.2.
2.7.3.
2.7.4.
2.7.5.
2.8.
2.8.1.
2.8.2.
2.8.3.
BPR araçları
BPR risklerini azaltmada yardımcı olan uygun BPR araçlarının eriĢilebilirliği, kurumlara baĢlatılan BPR çalıĢmalarında büyük
fayda sağlayabilir. Belli bir yeni veya mevcut iĢ sürecinde, tipik bir BPR aracı modellemeyi, analizi, değerlendirmeyi ve
muhtemel davranıĢının canlandırılmasını destekler.
Tanı aĢaması (2.5.3.) performans geliĢtirme fırsatlarının ve engellerinin tanımlanmasında anahtar olarak ele alındığından
dolayı BPR araçları bir BPR projesinde önemli rol oynarlar.Bunlar, BS Denetçisi tarafından da incelenmelidir.
BPR‘de BS‘nin Rolü
BS, araçları getirir ve BPR projelerinde dört belirgin rol oynar.
BS, yeni süreçleri olanaklı kılar. BS, baĢka türlü baĢarılamayacak Ģeyleri yenilikçi iĢ sürecinin planlanmasına yardım eder.
BS, BPR‘nin ana ateĢleyicisi olabilir. BT‘nin kullanımı, modern BT uygulamalarının geliĢiminden önce iĢ sürecinde zaten var
olan varsayımları zorlaĢtırır.. BPR‘nin, BS yönetiminde bulunabilmesine rağmen, asıl olarak müĢteri ve kurumların
memnuniyeti açısından bir iĢ faaliyetidir.
BT araçları, proje yönetiminin kolaylaĢtırılmasına yardım eder. Proje yönetim araçları, sürecin analiz edilmesine ve yeni
sürecin belirlenmesine yardım ederler. Onlar aynı zamanda süreç-çıkıĢlı uygulama yazılım paketlerinin sunulmasını
tanımlamak için de kullanılabilirler.
BS, insanların daha yakından birbiriyle çalıĢmasına olanak verir. E-posta, grup yazılımları, iĢ akıĢı yönetimi ve tele konferans
gibi özel yazılım sistemleri yaygın BS uygulamalarının öğeleridir.
BS, süreçlerin bütünleĢtirilmesine de yardım eder. ĠĢlerin süreçlerinin gözden geçirilmesi, kurum içinde ve iĢ ortakları
arasında iĢ sürecinin bütünleĢtirilmesini de kapsar. ERP sistemleri, BPR uygulama sürecine yoğunlaĢarak tamamen değiĢim
mühendisliği sürecini güçlendirmeye ve bütünleĢtirmeye yardım eder..
BPR Projelerinin Riskleri
Radikal olarak geliĢtirilmiĢ iĢ süreci, müĢteri isteklerini her zamankinden daha iyi karĢılayabilirler ve bir kurumun faaliyet
sonuçlarında önemli geliĢmelere ulaĢabilirler. Bununla birlikte, radikal geliĢmeler risksiz ve yüksek derecede baĢarısızlık
oranı olmadan baĢarılamaz. DeğiĢim mühendisliğinin faydalarından birisi, her zaman anında oluĢması gerekli değildir. Bu,
BPR projelerinin yaĢam döngüsü boyunca dikkatli bir biçimde izlenmeleri gerektiği anlamına gelir.
DeğiĢim sürecinin her adımında, (tasarım, uygulama ve iĢlemsel) destekleyici, kapsam, kurumsal kültür, liderlik, yetenek,
insan kaynakları ve yönetimle ilgili sorunlar çıkabilir. Bu sorunlara örnekler aĢağıda sıralanmıĢtır:
Tasarım riskleri aĢağıdakileri de içerir:




Destekleyici konuları:
- CEO destek vermez
- Yetersiz üst yönetim katılımı
- Yönetimin Ģüpheciliği
- Çabaları yönlendiren kiĢilerin yanlıĢ yönlendirmesi
- Tasarım takımında yanlıĢ kiĢilerin üye olarak bulunmaları
- Önemin yanlıĢ bildirimi
-
Kapsam Konuları
Stratejik vizyona ilgisizlik
Kapsam çok fazla dar veya çok hırslı
Kutsal inekler korunmaktadır.
Mevcut iĢler korunmuĢ
Analiz felci
Yetenek Konuları
- Yeni fikirlerin yetersiz araĢtırılması
- Yaratıcı düĢüncenin olmayıĢı
- Yeni fikirlere kapalılık
- Tasarımda yanlıĢ anlamalar
- Kültürel değiĢimlerin kuruma ayarlanmamıĢ oluĢu
- Ġnsan kaynakları konularının yetersiz ele alınması
- BS biriminin destekleyebileceği kapasiteden uzak olma
Politik Konular
- Güç kaybeden yöneticilerin sabotajı
- Gizli saldırılar
- Kontrolsüz dedikodular
- DeğiĢim korkusu
- Kültürel direnç
130
G26
ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı)
2.8.4.
Uygulama riskleri aĢağıdakileri de içerir:




2.8.5.
Liderlik konuları
- Üst yönetimin yetersiz dikkat, adanmıĢlık ve nüfuzu
- Sahiplik çabaları
- CEO/destekleyicinin politik istekleri ikilemi veya bocalaması
- CEO/destekleyici arasında değiĢim
- Yetersiz kaynaklar
- Zorlama vizyonunun iletiĢiminde baĢarısızlık
- CEO‘nun yönetimi çabalar etrafında birleĢtirmesinde baĢarısızlık
Teknik Konular
- BT‘nin yapabileceği kapasitenin ötesinde olma
- GeciktirilmiĢ yazılım uygulaması
- Paketli yazılımın kapasitesinin yetersizliği
- ĠĢlev ve tasarımla ilgili sorunlar
- Önemli konuların baĢtan belirlenmemiĢ olması
- KarmaĢıklığın hafife alınması
- Beklenmedik kapsam değiĢikliği
- Zaman harcayıcı veya maliyetli geliĢim stratejileri
GeçiĢ konuları
- Tasarım aĢamasında anahtar personelin kaybedilmesi
- Ġvme kaybı
- Personelin aĢırı yorgunluğu
Kapsam Konuları
- Beklenenden daha yavaĢ sonuçlar
- Bütçe aĢımı
- Gerçekçi olmayan zaman çerçeveleri
- Orijinal kapsamın daraltılması
- Ġnsan kaynakları konularının ihmali
- Büyük çabaların boyutları
Faaliyet/Önceliklendirme riskleri aĢağıdakileri de içerir:



Kültürel/insan kaynakları konuları
- Kültürel direnç artar
- YanlıĢ davranıĢların azalmaması
- Ġç alımların olmayıĢının beklenen faydaların erozyonuna sebep olması
- Yetersiz veya baĢarısız eğitim
- Çıktılar genel olarak anlaĢılmıĢ veya söz verildiği gibi değil
Yönetim konuları
- Yeni yönetim becerilerinin baĢarısız uygulanması
- Devam eden sürekli geliĢim faaliyetleri için Ģart olmayıĢı
- Sahiplik/yetki alanı/güç konularının yeterli bir biçimde çözülmemiĢ olması
- KarĢılaĢılan sorunların üstesinden gelmek için yetersiz istek
- Zayıf iletiĢim
- ÇalıĢanlar ve idareciler tarafından aktif veya pasif sabotaj
Teknik Konular
- Desteğin geç ve/veya eksik olması
- Sistem/yazılım hatalarıyla ilgili iĢletim sorunları
- Sistemlerin kullanıcı ihtiyaçlarının/beklentilerinin karĢılayamaması
- Yetersiz test
- Verilerin bütünlüğü sorunlarının güven konusunu zedelemesi
3.
DENETĠM YÖNETMELĠĞĠ
3.1
3.1.1
BPR Projelerinin DeğiĢikleri
BS Denetim biriminin denetim yönetmeliğinin, kurumun BPR projeleri uygulamak istemesi sonucu değiĢtirilmesi gerektirebilir.
BPR varsayımları, BS Denetçisinin kapsam ve diğer denetim iĢlevleri (örneğin finansal ve faaliyet) ile iliĢkisinin
geniĢletilmesini ve yakın bir biçimde bütünleĢtirilmesini gerektirir.
Kurumun üst yetkilisinin ve sistem yönetiminin, BS Denetçisinin rollerini tam olarak anlaması çünkü bu roller BPR projesiyle
ilgilidir) ve desteklemesi Ģarttır. G5 Denetim Rehberi- BS Denetim Yönetmeliği incelenmeli ve kurumun BPR uygulamaları
bağlamında ve kurumun ilgili faaliyetlerinde göz önünde bulundurulmalıdır.
3.1.2
4
BAĞIMSIZLIK
4.1
4.1.1
BPR Projelerinde BS Denetim Rolleri
BS Denetçisi BPR projesiyle ilgili denetim dıĢı rollerden sorumluysa veya bunları da gerçekleĢtirecekse BS Denetim Rehberi
G17 Denetim dıĢı Rollerin BS Denetçisinin Bağımsızlığı Konusunda Etkileri, bölümünü incelenmeli ve uymalıdır.
131
G26
ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı)
4.1.2
4.1.3
BS Denetçisi bir BPR projesinde denetim dıĢı bir görev alacak ise, BS Denetçisi, ISACA‘nın Bilgi Sistemleri Kontrol
Uzmanları Standartları‘na uymalıdır.
Bunun sebebi, BS Denetçisinin, bağımsızlığına kuvvetle muhtemel gölge düĢmesi olasılığının bulunmasıdır. BS Denetçisi, bir
BPR‘ye dahil olmuĢ ve kendisinin de BPR takımının bir üyesi olduğu sistemlerin, usullerin ve sürecin incelenmesi önerilerini
reddetmelidir.
5
YETERLĠLĠK
5.1
5.1.1
Zorunlu ĠĢ Bilgisi ve Teknik Beceri
BS Denetçileri, bir BPR‘de alıĢmıĢ oldukları konular radikal değiĢikliklerden dolayı ortadan kaybolsa ve becerilerini tekrar
gözden geçirmek durumunda olsalar bile, sistemler ve kontrollerle ilgili bilgi ve becerileri sayesinde iĢ sürecinin değiĢim
mühendisliğinde kritik roller oynayabilirler.
BS Denetçisi, bir BPR projesinin denetiminde normalde diğer denetçilerin finansal, faaliyet ve düzenlemelerdeki becerilerini
tamamlayan denetim takımının bir üyesidir.Yine de BS Denetçisi, bir BPR projesini incelemesi baĢarmak için gerekli bilgi ve
beceriye sahip olduğunun makul güvencesini sağlamalıdır.
5.1.2
6
PLANLAMA
6.1
BPR Projesini Ġncelerken BS Denetçisi tarafından Dikkate Alınacak Çerçeve
6.1.1
BaĢlangıç ve teĢhis etme aĢamaları, mevcut süreçler, bilgi ve BT sistemleri kullanımdayken, diğer sistemlerle
karĢılaĢtırılarak analiz edilirler BS Denetçisi, bu sırada inceleme için seçilen her süreçte ilgili performans değiĢkenlerini
ölçebilir ve performans boĢluklarını belirleyebilir. BS Denetçisi, bilgi ve BT‘nin kullanımının kurum sürecinde kökten
değiĢimler baĢlatmak için bir kaldıraç görevi görebilmesinden dolayı bir BPR sürecinin en baĢından itibaren faydalı katkılarda
bulunabilir.
Yeniden tasarım aĢaması, yeni sürecin yeniden tasarlandığı ve mevcut bilgiyi kullanmak için yeni bilgi ve yolların
araĢtırıldığı, yeni iĢ sistemlerinin ayrıntılı planlarının belirlendiği, göç stratejisinin geliĢtirildiği ve göç hareket planının
oluĢturulduğu aĢamadır. BS Denetçisince, yeni iĢ akıĢının olması gereken modeli, iĢin iĢlevsel alanları arasında yeni bilginin
nasıl paylaĢılacağı, BT sistemlerinin dönüĢümü, yeni bilgi ve yeni teknolojilerin nasıl sunulacağı ve BS ve BT sitemlerinin kaç
yaĢında kullanımdan çıkarıldıkları, yeni kontrol sisteminin ne kadar güvenilir olacağı gibi bütün benzer konular incelenebilir.
Değerlendirme aĢaması, yeni sürecin ve BS sistemlerinin faaliyet göstermeye baĢladığı aĢamadır. BPR projesinin hedefine
ulaĢıp ulaĢmadığını, yeni yapıya geçiĢin etkin ve güvenilir olup olmadığını ve toptan kalite programının etkin olup olmadığını
belirlemek BS Denetçisinin özel bir görevidir.
6.1.2
6.1.3
7.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
7.1.
7.1.1
Risk Yönetimi Değerlendirmesi
DeğiĢim mühendisliğinin yüksek derecede durumsal ve yaratıcı olmasından dolayı -Bunu yapmanın en doğru biçimi yokturve literatürde birkaç tane BPR usulü vardır. Bir BPR projesinin denetimi, bir yönteme uyarak olmaz, fakat risk yönetiminin
değerlendirilmesi ve alt geliĢmelerin paydaĢlara ve müĢteriler için önemli olan çıktılarda nasıl bulundukları konusu ulaĢılır bir
Ģeydir.
8.
RAPORLAMA
8.1.
8.1.1
Rapor Ġçeriği
BPR incelemelerinde raporlama, sürekli olarak ve risklerin, konuların belirlenmesi anında yapılmalıdır. Bu raporlar, yönetimin
ilgili kademesine gerekli eylemin yapılması için verilmelidir. Ġnceleme sırasında ortaya çıkan bütün konuların listelendiği bir
nihai rapor da hazırlanabilir.
Ġncelemenin çeĢidine göre, rapor aĢağıdaki konular ve benzerlerini içerebilir:
8.1.2




BPR yaklaĢım modelinin ve yönteminin uygunluğu
Riskler ve konular, sebepleri ve etkileri
Muhtemel risk azaltma faaliyetleri
Maliyet/fayda karĢılaĢtırması ve kurumun ortamına olan etkisi
9.
YÜRÜRLÜK TARĠHĠ
9.1
Bu yönetmelik bütün BS Denetimlerinde 1 Temmuz 2004‘ten itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın
www.isaca.org/glossary adresinde bulunabilir.
132
G26
ĠĢ Süreci Yeniden Tasarımı(BPR) Projesinin Gözden Geçirilmesi (Devamı)
EK
Kaynakça Literatürü



Carter, M.; R. Handfield; Dözgü Zamanı Azaltma Kaynaklarının Tanımlanması, Zaman Bazlı Rekabet Ġçin tekrar Mühendislik,
(Identifying Sources of Cycle-time Reduction, Reengineering for Time-based Competition), Quorum Books, 1994
Hammer, M.; J. Champy; ġirketin DeğiĢim Mühendisliğe Tabi Tutulması: ĠĢ Devrimi Manifestosu, (Reengineering the
Corporation: A Manifesto for Business Revolution), Harper-Collins, USA, 1993
Harrington, H.J.; ĠĢ Proses GeliĢimi (Business Process Improvement), McGraw-Hill, USA, 1991
BPR Araçları ve Teknikleri
DeğiĢim mühendisliğinde yararlı olduğu düĢünülen halen kullanılan diğer araç ve teknikler mevcut iken, süreç bilgisini oluĢturmak ve
toplamak için çok sayıda araç ve teknik özel olarak geliĢtirilmiĢtir Aynı sürece farklı bakıĢlar farklı Ģekillerde anlamaya yardımcı olabilir,
ancak genellikle gerekli yenilikçi düĢünceyi desteklemektedir. Araç ve teknikler, geniĢ ölçüde aĢağıdaki sınıflara ayırılabilirler.



Hafif Sistemler Yöntemler-Bunlar, düĢünce sürecini biçimlendiren sayısal / beyin fırtınası teknikleridir ve sıklıkla aĢağıdaki
durumlarda kullanılırlar:
Süreç ve sistem hedeflerini belirlenmesi
Sorun analizi-örneğin süreç baĢarısızlıklarının sebeplerinin belirlenmesinde-(sebep-sonuç çizelgesi gibi)
Risk analizi
Sunum Araçları-Bunlar, Ģimdiki veya gelecekteki sürecin anlaĢılması için sürecin sunulması teknikleri içerir. Örneğin:
Süreçteki bireylerin/takımların/birimlerin bağımlılıklarını incelemek için rol faaliyet çizelgeleri
Faaliyet bağımlıklarını görmek için süreç akıĢ çizelgeleri
ĠĢlevsel ayrıĢma modelleri; bilgi bağımlılığını incelemek için faydalıdır
Zaman temelli süreç haritası; Süreç zamanının ayrıĢımını ve değer eklenmiĢ ve değer eklenmemiĢ bileĢenleri sürecin değiĢik
aĢamalarında sunmak için.
Analiz Araçları-Bunlar süreç davranıĢını zaman içerisinde analiz etmek için kullanılabilen araçlardır. DeğiĢik modelleme
kapasitesine sahip çeĢitli araçlar vardır -PERT/CPM, Petri Nets ve Farklı Olay Simülasyonu gibi.
BS Denetçisi, süreci olduğu-gibi modellemesinde aĢırı vurgulama riskinin farkında olmalıdır. Bu risk, asıl kararın yerine geçebilir.
COBIT Referansı
Özel denetim kapsamına uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi
kıstaslarının göz önünde bulundurulmasına bağlıdır.
AĢağıdaki birincil COBIT sürecine usul bağlantıları:








M1-Süreçlerin izlenmesi
M2-Ġç kontrol yeterliğinin değerlendirme
DS1-Hizmet seviyelerini belirleme ve yönetimi
DS10-Sorunları ve vakaları yönetimi
AI6-DeğiĢiklik yönetimi
PO1-Stratejik bir BT planı belirleme
PO9-Risklerin analizi
PO10-Projeleri yönetimi
AĢağıdaki COBIT sürecine usul bağlantıları:







PO4 BT sürecini, kurumu ve iliĢkileri tanımlama
PO5-BT Yatırım yönetimi
PO6 Yönetim amaçlarını ve yönlendirmeyi bildirme
PO7-Ġnsan kaynakları yönetimi
PO11-Kalite yönetimi
DS3-Performans ve kapasite yönetimi
DS13-Faaliyet yönetimi
Bir BPR denetimiyle en ilgili olan bilgi kıstasları Ģunlardır:




Verimlilik
Etkinlik
Uyum
Bilginin güvenilirliği
133
G27 Kablosuz EriĢim Araçları
1.
ARKA PLAN
1.1.
1.1.1.
Standartlarla Bağlantı
S1 Denetim Yönetmeliği Standardı, ―Bilgi Sistemleri denetim iĢlevinin amacı, sorumluluğu ve yetkisi, bir denetim
yönetmeliğinde veya bir hizmet sözleĢmesinde uygun bir biçimde belgelendirilmelidir‖. ġeklinde ifade eder.
S4 Mesleki Yeterlilik Standardı , ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki
açıdan yeterli olmalıdır‖. Ģeklinde ifade eder.
S5 Planlama, Standardı, ―BS Denetçisi bilgi denetiminin kapsamını, denetim amaçlarını karĢılayacak ve ilgili yasa ve
mesleki denetim standartlarıyla uyumlu olacak biçimde planlamak durumundadır.‖Ģeklide ifade eder.
S6 Denetim ĠĢinin Yürütülmesi Standardı, ―BS Denetim personeli denetim amaçlarına ulaĢılması ve ilgili mesleki denetim
standartlarının uygulanması konusunda kontrol edilmelidir.‖ Ģeklinde ifade eder.
P8 Güvenlik Değerlendirmesi Usulü, Saldırı testi ve Duyarlılık Analizi Testleri uygulamaları için ayrıntılı adımları içerir.
1.1.2.
1.1.3.
1.1.4.
1.1.5.
1.2.
1.2.1.
1.2.2.
COBIT Bağlantısı
COBIT çerçevesi, ―KuruluĢun bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek
ve beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder.
COBIT Yönetim Rehberleri, özellikle aĢağıdakilere odaklanan sürekli ve ileri dönük kontrol öz değerlendirmesi için yönetim
eğilimli bir çerçeve sağlar:




1.2.3.
1.2.4.
1.2.5.
1.2.6.
1.2
1.3.1
1.3.2
Performans ölçümü-ĠĢ gereksinimlerini destekleyen BT iĢlevi ne kadar iyidir?
BT kontrol profili-Hangi BT süreci önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?
Farkındalık-Hedeflere ulaĢmama riskleri nelerdir?
Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülebilir ve karĢılaĢtırılabilir?
Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar
performans göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin,
süreç sağlayıcıların performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk
özellikleri, yönetime geliĢtirme için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite
değerlendirmesi ve karĢılaĢma sağlar.
Yönetim Rehberleri, kendini değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası
olarak sürekli izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.
COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol teknikleri sağlar. Özel denetim alanına uygulanacak
COBIT‘teki en ilgili materyalin seçilmesi, özel COBIT BT süreçleri, kontrol hedefleri, yönetim kontrol uygulamalarıyla
bağlantısı ve ilgili COBIT bilgi kıstaslarının seçimine bağlıdır.
Bu Rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ek kısmında yer alan COBIT
kaynakları göz önünde bulundurulmalıdır.
Rehber Gereksinimi
Mobil ve kablosuz programlama, dünya çapında iĢlemlerde büyük ilgi uyandırmaya baĢlayan bir olgudur. Mobil ve kablosuz
programlama, kablosuz iletiĢim teknolojilerinin ağ-temelli uygulamalara ve bilgilere hareketli aletlerden eriĢim için
kullanılmasını anlatır. Bu teknolojinin artan kullanımı ve internet tarama özelliği olan yeni taĢınabilir araçların türemesi
kurumun fiziksel ufuklarını geniĢletmekte ve BS Denetçisinin ilgili riskleri tanımlaması için bu teknolojiyi anlamasını
gerektirmektedir.
Bu rehber, bağımsız bir denetim gözden geçirmesi veya denetim görevinin bir parçası olarak kablosuz EriĢim Araçları
güvenliğini gözden geçirirken, S1, S4 ve S5 BS Denetim standartlarının uygulanmasında yol göstericilik yapmayı
amaçlamaktadır. BS Denetçisi, bu rehberi yukarıdaki standartlara nasıl ulaĢılacağını belirlemede göz önünde bulundurmalı,
uygulanması sırasında mesleki yargılarını kullanmalı ve herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.
2.
TANIMLAR
2.1.
Kablosuz Programlama
Kablosuz programlama terimi, programlamayı yapan araçların, kablosuz olarak (kablosuz) yerel ağ alanı(LAN) Ģeklinde
iletiĢim için programlama araçlarının kabiliyetini, IEEE802.11X çevresinde bu teknolojilerin ve diğer kablosuz standartların ve
mobil araçlar tarafından kullanılan radyo bansı hizmetlerinin birleĢtirilmesini gerektiğini gösterir.
2.2.
2.2.1.
Kablosuz EriĢim Araçları
Kablosuz EriĢim Araçları terimi, diğer araçlarla kurum ağına eriĢimin asla yapılamadığı yer ve durumlarda kurumsal
ağa eriĢimi geniĢleten, yeni uygulama türleri sağlayan araçlar için bir kavram olarak yaygınlaĢmaktadır. PDA, cep
telefonları, dizüstü bilgisayarlar ve diğer mobil araçlar ile mobil eriĢim sağlayan teknolojilerinden oluĢur.
134
G27 Kablosuz EriĢim Araçları (Devamı)
2.3.
2.3.1.
Kullanımı
Programlama ve depolama yapabilen araçlar olarak mobil aletler, verileri çeĢitli yollarla depolayıp, iĢleyip eriĢim
sağlayabilirler. Verileri bağımsız bir biçimde iĢleyen ve düzenli olarak merkezi bir sisteme veya ağa bağlanıp diğer
sistemlerle veri veya uygulama alıĢ-veriĢi yapabilen yarı bağımsız araçlar olarak veya bir diğer sistemde depolanan
verilere gerçek zamanlı olarak eriĢip verileri güncelleyebilen aletler olarak kullanılabilirler (Bunlar, hiyerarĢik olarak
eĢdüzey olarak çalıĢabilirler).
2.4.
2.4.1.
YaklaĢım
Mobil araçlar olarak belirtilen araçlar, aslında, donanım, iĢletim sistemi, uygulamalar ve iletiĢim/bağlantı noktaları gibi
yaygın bileĢenler tarafından biçimlendirilmiĢ bilgisayarlardır. Bu belge, kablosuz eriĢim araçları gibi araçların amaçları için
kullanımının denetimi/gözden geçirilmesiyle ilgili özellikli konuları kapsar. Donanımlarla ilgili riskler bu belgede kapsama
alınmamıĢtır. (Kapsama alınmayan alanlara örnek olarak güvenlik duvarı yapılandırması, virüsler ve program bakımı
gösterilebilir).
3.
Ġġ ANLAġMASI
3.1
3.1.1
Kapsam
BS Denetçisi, iĢ sözleĢmesinde genellikle yazılı Ģekilde yer alan kablosuz eriĢim araçlarıyla ilgili gerçekleĢtirilecek denetimin
amaç ve kapsamı hakkında açık bir bildirime sahip olmalıdır.
4.
PLANLAMA
4.1
4.1.1
4.1.2
Bilgi Toplama
BS Denetçisi, mobil araçların kabul edilebilir kullanımını belirleyen güvenlik politikasını elde etmelidir.
BS Denetçisi, mobil aletlerin amaçlanan kullanımıyla ilgili bilgi elde etmelidir ve nerede ticari iĢlemler için ve veri süreç için
veya kiĢisel verimlilik amaçları için kullanılacağını tanımlaması gerekmektedir (internette sörf, posta, takvim, adres kitabı,
yapılacaklar listesi, vb gibi). Ayrıca, kullanılan yazılım ve donanım teknolojilerini de tanımlaması Ģarttır. Otomatik ve
Manuel temel süreçler, belgelenmelidir.
BS Denetçisi, risk analizi ve risklerin gerçekleĢme olasılığı ve etkileriyle ilgili yeterli bilgi elde etmelidir.
BS Denetçisi kablosuz EriĢim Araçlarının yönetimiyle ilgili politikalar ve usuller, stratejik konumlandırma, iĢlemlerin bakımı
(iletiĢim, donanım, uygulama yazlımı, veri güvenliği, sistem yazılımı ve güvenlik yazılımı) ile ilgili yeterli bilgi elde etmelidir.
Örnek alanlar içerisine giren alanlar, araç konfigürasyonu, fiziksel kontrol, onaylanmıĢ yazılım ve araçlar, uygulama güvenliği,
ağ güvenliği, acil durum planları, yedekleme ve kurtarma sayılabilir.
KiĢisel görüĢmeler, belge analizi (iĢ sözleĢme ve protokol belgeleri gibi) ve kablosuz altyapı testi verilerin toplanması, analizi
ve yorumlanması sırasında uygun biçimlerde kullanılmalıdır.
BS Denetçisi, BS veya iĢ iĢlevini dıĢarıdan sağlamak amacıyla üçüncü taraf kullanılmıĢsa anlaĢma Ģartlarını,, sağlanan
hizmetler ile ilgili üçüncü tarafın ortamını düzenli olarak gözden geçirmeye kurumun hakkı olduğunu ve zorlayıcı güvenlik
önlemlerinin uygunluğunun değerlendirilmesini gözden geçirmelidir.
BS Denetçisi, önceki inceleme raporlarını da incelemeli ve sonuçlarını planlama sürecinde göz önünde bulundurmalıdır.
4.1.3
4.1.4
4.1.5
4.1.6
4.1.7
4.2
4.2.1
4.2.2
Risk Analizi
BS Denetçisi, mobil araçların kullanımıyla ilgili riskleri göz önünde bulundurmak ve iĢ, hukuk ve düzenleyici kurallar
açısından depoladıkları bilgilerin kritik oluĢlarına, iĢlemlere ve eriĢimlerine göre sınıflandırmak durumundadır.
Mobil aletlerin taĢınabilir olmaları, kapasitesi, bir ağa bağlanabilmeleri ve satın alınabilirlikleri, aĢağıdaki gibi risklerin
artmasına sebep olur:





4.2.3
Hasar, kaybolma veya hırsızlık (taĢınabilir olmaları yüzünden)
Mobil aygıttan, ağa virüsler, solucanlar ve benzerleri aktarılmasıyla ağa varlıklarına zarar verilmesi
Kurumsal araçlar ve ağlardan indirilen verilere yetkisiz eriĢim(Bağlantıyla ilgili)
Kurumsal araçlara ve ağlara ve veri yükleyerek yetkisiz değiĢiklikler ve eklemeler
Aygıtta kalan verilere/uygulamalara yetkisiz eriĢim (Genellikle çok basit temel güvenlik iĢlevleri kapsayan iĢletim
sistemlerinin basitliği ile ilgili )
Risk analizini gerçekleĢtirirken göz önünde bulundurulacak konular:




KiĢisel bilgilerin gizliliği-Hassas bilgiler (kredi kartı numaraları, mali ayrıntılar ve hasta kayıtları gibi) aktarılırken önem
verilmesi gereken unsurlardır. KiĢisel bilginin gizliliği protokolleri ve ilgili usulleri, çok önemlidir çünkü kablosuz veri
aktarımı bilgisayar korsanlarından diğer yollarla (fiziksel giriĢ kontrolü gibi) korunamaz.
Kimlik denetimi-TanınmıĢ bir sertifikasyon otoritesi(CA) tarafından doğrulanabilen bir sertifika veya jeton kullanımı ile
sağlanabilir.
Ġki Faktörlü Kimlik doğrulaması-Güvenli bir aktarım sırasında son kullanıcının kimliğini ve aletin kendisini onaylamak
için kullanılır. Ġki etmen onaylaması, kayıp veya çalıntı aletlerin ağa giriĢini reddetmek için kullanılır.
Veri bütünlüğü-Aktarım sırasında veya aygıtın içindeyken bir iletinin içeriğinin değiĢikliğe uğratılıp uğratılmadığını
belirlemek için kullanılır.
135
G27 Kablosuz EriĢim Araçları (DEVAMI)



Ġnkar Edilemezlik-Kullanıcıların bir iĢlemi yaptıklarını yalanlamalarını engellemek için bir sistemdir. Ġnkar edilemezlik,
baĢarılı bir kullanıcı kimlik doğrulaması gerektirir ve kullanıcıdan çıkan iĢlemlerin güvenilir ve yasal zorlayıcı bir kaydını
oluĢturur.
Gizlilik ve Kriptolama-Verilerin algoritmalar kullanılarak kriptomalanmasını kapsar. Amaç yetkisiz kiĢilerin veya araçların
anlaĢılmasını ve okumasını önlemektir (BS Denetim Usulü P9 KriptolanmıĢ Yöntemler Üzerindeki Yönetim
Kontrollerinin Değerlendirilmesi‘ne bakınız). Kriptolama teknolojileri, verilerin iletilmeleri sırasında kodlanması ve
kodlarının çözülmesine dayanır. Anahtar dağıtımı ve korunması usulleri ayrıca göz önünde bulundurulmalıdır.
4.2.4
Ekipman ve iletiĢimin yetkisiz kullanılması -Ġnternete üçüncü taraf ağına yetkisiz giriĢ riski dahil- (tarafın potansiyel
sorumluluğa maruz bırakarak).
BS Denetçisi, belirtilen risklerin muhtemel etkileri açısından olasılıklarını değerlendirmelidir ve bu riskleri azaltmak için
kontroller dahil bütün belgeleri hazırlamalıdır. BS Denetçisi, gözden geçirmenin kapsamına bağlı olarak en muhtemel tehdit
kaynaklarını belirtmelidir -Ġç ve dıĢ- bilgisayar korsanları, rakipler ve yabancı devletler gibi.
4.3
4.3.1
BS Denetim Amaçları
BS Denetçisi, denetimin amaç ve kapsamına uygun olarak aĢağıdaki gibi güvenlik alanlarını dahil etmelidir:

















4.4
4.4.1
4.4.2
ĠletiĢimler (ĠletiĢim dinlenmesi, hizmet dıĢı bırakma,, Ģifreleme teknolojileri gibi protokoller ve hata toleransı gibi risklerin
kapsanması)
Ağ Mimarisi
Sanal özel ağlar
Uygulama sunumu
Güvenlik farkındalığı
Kullanıcı yönetimi
Kullanıcı ve oturum yönetimi (soygun, sahtecilik, veri bütünlüğünün kaybı risklerinin kapsanması)
Fiziksel güvenlik
Kamusal Anahtarlama Altyapısı [PKI Uygulaması]
Yedekleme ve kurtarma usulleri
Faaliyetler (Olay müdahale ve ofis arkası iĢleyiĢ gibi)
Teknoloji Mimarisi(Yapılabilirlik, iĢ gereksinimlerini karĢılamak üzere geniĢletilebilir, vb.)
Güvenlik Mimarisi
Güvenlik yazılımı (IDS, güvenlik duvarı ve virüs korunma gibi)
Güvenlik yönetimi
Yamaların yüklenmesi
ĠĢ acil durum planlaması
ĠĢ Planı
BS Denetçisi, görevin kapsam ve amaçlarıyla ilgili bilgilere dayalı olarak iĢin, güvenliğin ve BS amaçlarının belirtilen
risklerden nasıl etkilendiklerini ve bu riskleri azaltmak için yapılması gerekenleri belgelemelidir.
BS Denetçisi, bu süreçte, güçlendirilmesi gereken zafiyet ve hassasiyet alanlarını belirlemelidir. Test amaçları için riskleri
azaltma amaçlı yeni kontroller, çalıĢma planına dahil edilmelidir.
5
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
5.1
5.1.1
GerçekleĢtirilme
BS Denetçisi, kontrollerin olması durumunda gerçek hassasiyetleri belirlemek ve denetim amaçlarına etkilerinin olmadığını
test amacıyla, planlanan usulleri geniĢletmeyi düĢünmelidir (örneğin bir Saldırı testi gibi).
5.2
5.2.1
5.2.2
5.2.3
Raporlama
BS Denetçisi, denetim iĢinin bitiminde planlanan hizmet kullanıcısına verilmek üzere bir rapor hazırlamalıdır.
BS Denetçisi, rapor yayınlanmadan önce paydaĢlarla raporu tartıĢmayı düĢünmelidir.
Rapor, BS Denetçisi ve yönetimin kabul ettiği dağıtım kısıtlamalarını belirtmelidir. BS Denetçisi, üçüncü taraflara karĢı bir
sorumluluğunun olmadığını belirten bir ifade hazırlamayı da düĢünmelidir.
136
G27 Kablosuz EriĢim Araçları (DEVAMI)
YÜRÜRLÜK TARĠHĠ
Bu yönetmelik bütün BS Denetimlerinde 1 Eylül 2004 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın
www.isaca.org/glossary adresinde bulunabilir.
6
6.1
G27 Kablosuz EriĢim Araçları Eki
COBIT Referansı
Özel denetim kapsamına uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi
kıstaslarının göz önünde bulundurulmasına bağlıdır.
Birincil








PO9-Riskleri Değerlendirme
AI3-Teknoloji Mimarisini Edinme ve Sürdürme
AI4-BT Usullerini geliĢtirme ve sürdürme
AI5-Sistem Kurma ve Akredite etme
AI6-DeğiĢiklik Yönetimi
DS5-Sistemlerin Güvenliğini Sağlama
DS9-Konfigürasyon Yönetimi
M2-Ġç kontrol Yeterliğini Değerlendirme
Ġkincil
AI2-Uygulama Yazılımını Edinme ve Sürdürme
DS8-BT MüĢterilerine Yardım Etme ve Öneriler Verme
COBIT bilgi kıstasları, Gizlilik, Bütünlük, EriĢebilirlik, Verimlilik ve Güvenilirliktir.
137
G28 Adli BiliĢim
1.
1.1.
1.1.1.
1.1.2.
1.1.3.
1.1.4.
1.2.7.
ARKA PLAN
ISACA Standartlarıyla Bağlantı
S3 Mesleki Etik ve Standartları:―BS Denetçisi, denetim yaparken ISACA Meslek Etik Kurallarına bağlı kalmalıdır.‖
Ģeklinde ifade eder.
S3 Mesleki Etik ve Standardı:―BS Denetçisi, denetim görevini yaparken, yürürlükteki mesleki denetim standartlarını
gözeterek gereken mesleki özeni göstermelidir.‖ ġeklinde ifade eder.
S4 Mesleki Yeterlilik Standardı: ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve
mesleki açıdan yeterli olmalıdır.‖ ġeklinde ifade eder.
S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim
kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak
için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun
analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.
1.3. COBIT Bağlantısı
1.3.5.
COBIT Çerçevesi ―Kurumun, bütün varlıklarını korumak yönetimin sorumluluğudur. Bu sorumluluğu yerine getirmek ve
beklentileri karĢılamak için yönetim yeterli bir iç kontrol sistemi kurmalıdır‖. Ģeklinde ifade eder.
1.3.6.
COBIT Yönetim Rehberleri, özellikle aĢağıdakilere odaklanan sürekli ve ileri dönük kontrol öz değerlendirmesi için yönetim
eğilimli bir çerçeve sağlar:
1.3.7.
1.3.8.
1.3.9.
1.3.10.
1.3.
1.3.1.
1.3.2.
1.3.3.
1.3.4.




Performans ölçümü-ĠĢ gereksinimlerini destekleyen BT iĢlevi ne kadar iyidir?





Anında yanıtlamak, aksi durumda kanıtların kaybolacağı veya zarar göreceğine vurgulamak




Ġhbarcı Ģikâyetleri
BT kontrol profili-Hangi BT süreçleri önemlidir? Kontrol için kritik baĢarı etmenleri nelerdir?
Farkındalık-Hedeflere ulaĢmamanın riskleri nelerdir?
Kıyaslama-KarĢılaĢtırma-Diğerleri ne yapıyor? Sonuçlar nasıl ölçülür ve karĢılaĢtırılabilir?
Yönetim Rehberleri, BT iĢ anlaĢmasının performansının değerlendirilmesine örnek kıstaslar sağlar.. Anahtar performans
göstergeleri, BT süreçlerinin çıktılarını tanımlar ve ölçer, anahtar performans göstergeleri, süreçlerin, süreç sağlayıcıların
performansının ne kadar iyi olduğunu ölçerek değerlendirir. Olgunluk modelleri ve olgunluk özellikleri, yönetime geliĢtirme
için kontrol açıkları ve stratejileri tanımlayarak kontrol kapasitesini ölçerek kapasite değerlendirmesi ve karĢılaĢma sağlar.
Yönetim Rehberleri, kendini değerlendirme atölye çalıĢmalarını desteklemek için ve BT yönetiĢiminin bir parçası olarak
sürekli izleme ve geliĢtirme usullerinin uygulanması amacıyla da kullanılabilirler.
COBIT, bilgi sistemleri yönetim ortamı için ayrıntılı kontrol teknikleri sağlar. Özel denetim alanına uygulanacak COBIT‘teki en
ilgili materyalin seçilmesi, özel COBIT BT süreçleri, kontrol hedefleri, yönetim kontrol uygulamalarıyla bağlantısı ve ilgili
COBIT bilgi kıstaslarının seçimine bağlıdır.
Bu rehberin kapsadığı alan incelenirken, özel COBIT hedef veya süreçleri için bu belgenin ek kısmında yer alan COBIT
kaynakları göz önünde bulundurulmalıdır.
Rehber Gereksinimi
BS Denetçisi, sıklıkla telekomünikasyon sistemleri kullanılırken yapılan dolandırıcılık, aykırılık ve kurumun
bilgisayarla ilgili yasa ve düzenlemelere uyumu ile ilgili öneriler istenir (biliĢim suçları). Adli biliĢimin temel anlayıĢı bu
tür düzensizlikleri tespit etmek ve önlemek için kuruma yardımcı olmak amaçlanmıĢtır. Bu belge, BS Denetçisine bu
amacın baĢarılmasında yardımcı olmak .
Adli biliĢimin en önemli amacı, belli bir durumun arkasında yatan gerçeği, bir saldırganı belirlemek amacıyla verilerin
derhal ele geçirilmesi ve yasal zorlamaya yardımcı olacak kriminal iĢleyiĢ için delilleri oluĢturmaktır..Bunun
, saldırganlar ve saldırıları hakkında anlayıĢ kazanılması ve gelecek saldırılardan bilgi
varlıklarının korunmasın da ayrıca kuruma yardımcı olur.
Ana özellikler Ģunlardır:
Vakaya en yakın noktada verilerin mümkün ise ele geçirilmesi ve korunması
Muhtemel yargılamalar için kanıtların korunması
ĠĢ faaliyetlerinde kesinti olmaksızın saldırgan verilerin ele geçirilmesi sürecini en aza indirmek.
Bir saldırganı belirlemek ve delilleri oluĢturmak
Bilgisayar soruĢturmasının yürütülmesi esnasında, gizliliğin korunması, toplanan verilerin ve bilginin
bütünlüğün sağlanması ve uygun yetkililere açıklanması önemlidir. BS Denetçisi, bu tür durumlarda önemli roller
üstlenecektir ve kuruma hukuki konularda önerileriyle ve BS ortamının hangi teknik yönlerinin araĢtırma gerektirdiği
konusundaki fikirleriyle faydalı olacaktır. BS Denetçisine Ģüphelenilen bir durumla veya aykırılıkla ilgili verilerin
verilerek daha ayrıntılı bilgi toplanması için veri analizi kullanması istenebilir.
Adli biliĢim, sahtekârlık, casusluk, cinayet, Ģantaj, bilgisayar suiistimalleri, teknoloji suiistimalleri, iftiralar, kötü amaçlı
postalar, bilgi sızdırılması, fikri varlıkların çalınması, pornografi, istenmeyen e-posta gönderimi, bilgisayar korsanlığı
ve mali kaynakların yasadıĢı aktarımı gibi konularda bunlarla sınırlı kalmaksızın sayısız alanda uygulanmaktadır. Adli
biliĢim, siber uzaydaki olayların ayrıntılı analizini ve kanıtlar toplanmasını kapsar. Bu rehber, BS Denetçisine, bu
konuları göz önünde bulundursunlar diye kısaca bilgisayar hukuku öğelerini tanımlar. BS Denetçisi, kurum içi
soruĢturmalarda bilgisayar hukuku gereğini belirtmelidir. Adli biliĢim, hukuki araĢtırmaların büyük bir yüzdesini oluĢturur.
(karĢı dıĢ saldırılar):
HR araĢtırmaları
Dolandırıcılık araĢtırmaları
Yasal uyumluluk soruĢturmaları-ÇeĢitli hukuk kurallarına ve endüstri yönetmeliklerine uyumu zorlar (örneğin SarbanesOxley, NIST, FISMA gibi)
138
G28 Adli BiliĢim (Devamı)
1.3.5.
Bu rehber, BS Denetim standartlarından S3 Mesleki Etik ve Standartlar; S4 Mesleki Yeterlilik; S5 Planlama; S6
Denetim ĠĢinin Yürütülmesine iliĢkin yol göstericilik sağlar. BS Denetçisi, bunu yukarıdaki standartların uygulanmasını
baĢarmayı, uygulamalarda mesleki yargısını kullanmayı ve herhangi bir sapmayı gerekçelendirmeye hazır olmayı göz
önünde bulundurmalıdır.
1.4.
1.4.1.
1.4.2.
Rehberin Uygulaması
BS Denetçisi, bu Rehberi uygularken diğer ISACA Rehberleriyle iliĢkisini göz önünde bulundurmak durumundadır.
BS Denetçisi, bir adli biliĢim görevinde mümkün ise yasal soruĢturma rehberlerini de danıĢarak ve uygulayarak göz önüne
almalıdır.
2.
TANIMLAR
2.1.
2.1.1.
Adli BiliĢim
Adli biliĢim, mahkemece geçerli sayılan araç ve teknolojiler ile bilgisayar kayıt araçlarından bilginin çıkarılması
ve adli biliĢim ve delil olarak aynı Ģekilde raporlama amacıyla doğrulunun ve güvenilirliğinin oluĢturulması için en iyi
uygulamalarının ortaya konulması Ģeklinde tanımlanabilir..
Adli biliĢim gerçek zorluğu, verinin bulunması, bunun toplanması, saklanması mahkemede okunabilecek ve kabul
edilebilecek Ģekilde sunmaktır.
Adli biliĢim birincil olarak, aĢağıdaki gibi bazı iddiaları kanıtlamak amacıyla bilimsel olarak kanıtlanmıĢ yöntemlerin
kullanımı yoluyla dijital kanıtların toplanması, iĢlenmesi, yorumlanması ve kullanılmasını kapsar: Örneğin,
2.1.2.
2.1.3.
2.1.4.

TamamlanmıĢ bir saldırının doğrulanması için kurumun ve kritik bilgi altyapısı yeniden yapılandırmasının bütün
faaliyetlerin kesin bir Ģekilde soruĢturulmasını sağlamak.


YanlıĢ hareketleri ve bunların planlanmıĢ faaliyetler üzerindeki etkisini iliĢkilendirmek, yorumlamak, tahmin etmek
Kriminal soruĢturma sürecinde sunmak üzere dijital verilerin uygun ve ikna edici hale getirilmesi
Adli biliĢim, bir suiistimalin veya bir tecavüzün olup olmadığını veya nasıl olduğunu belirlemek amacıyla yapılan
verileri toplama sanatı veya bir bilim dalı olarak da bilinir. Ġyi güvenlik uygulamaları kullanan ve kayıtları tutan kurumlar,
bu hedeflerine kolaylıkla ulaĢabilirler. Ayrıca, doğru bilgi ve araçlar kullanılarak yakılmıĢ, suya batmıĢ veya fiziksel olarak
zarar gözmüĢ bilgisayar sistemlerinden bile adli biliĢim kanıtları elde edilebilir.
3.
DENETĠM YÖNETMELĠĞĠ
3.1.
3.1.1.
Görev Zorunlulukları
BS Denetçisi, adli biliĢim ile ilgili göreve baĢlamadan önce görevi yürütebilmek için uygun yetkili birinden açık ve yazılı
olması zorunlu bir görevlendirme istemelidir.
Bu görevlendirme, BS Denetçisinin görevi yaparken bağımsızlığını sağlayacak maddeleri ve sorumluluklarını, yetki ve
sınırlamalarını belirtmelidir. Bu görevlendirme, ayrıca BS Denetçisinin sistemlere ve ilgili verilere yasal eriĢim hakkıyla
faaliyet gösterdiği açıkça belirtmelidir.
Bu görevlendirme, ayrıca görevi yerine getirmek amacıyla dıĢ uzmandan BS Denetçisi yararlandığı durumda sorumluluklar
ve kapsamın özel olarak ayrıca belirtmelidir.
3.1.2.
3.1.3.
4.
BAĞIMSIZLIK
4.1.
4.1.1.
Bağımsızlık Varsayımları
BS Denetçisi, adli biliĢimle ilgili görevine baĢlamadan önce muhtemel ilgi alanlarda çıkar çatıĢmasın bulunmadığı konusunda
makul güvence sağlamalıdır.
BS Denetçisi, hükümet, yetkili bir organ veya yasal olarak yetkili bir kurum tarafından bir bilgisayar adli biliĢim görevi
baĢlatıldığında görevi yerine getirmek için bağımsızlığını ve yetkisini açıkça belirtmelidir, elde ettiği verilerle ilgili gizliliği
korumalıdır, yansız olmalıdır ve ilgili yetkililere rapor vermelidir.
4.1.2.
5.
DENETĠM VARSAYIMLARI
5.1.
5.1.1.
Elektronik Aktarımın Adli Geçerliliği
Geçerli olarak görülmesi için hizmet veya mal satıĢı için bir sözleĢme imzalanmalıdır. Elektronik sözleĢmelerde,, bu dijital
imzalarla elde edilebilir.
Dijital imza, aĢağıdaki maddelerdeki adli amaçları yerine getirebilir:
5.1.2.


Doğrulama-Veri kaynağı kanıtı vardır.
Bütünlük-Onaylama iĢlemi sadece ileti hiç değiĢtirilmediyse baĢarılı olabilir.
139
G28 Adli BiliĢim (Devamı)


5.2.
5.2.1.
5.2.2.
5.2.3.
5.2.4.
5.3.
5.3.1.
5.3.2.
5.3.3.
5.3.4.
Ġnkâr Edilemezlik :-Her Ģifre anahtar kullanıcısının kendi anahtarını korumak içim yasal sorumluluğu vardır. Bu yüzden
tek taraflı olarak imzalanmıĢ belgenin içeriğini değiĢtiremez. Özel anahtarı korumak için kullanılan geçerli bir sistem
büyük olasılıkla bunu akıllı kart gibi güvenli bir araçta depolayabilir. Bir insanın kendi dijital imzasını yalanlaması olanaklı
değildir. Bu olanaklı görülse dahi değer taĢımaz. Diğer tarafın yapması gereken tek Ģey sözleĢme imzalandığı sırada
imzanın geçerli olduğunu göstermektir. Bu demektir ki kullanıcı özel anahtarının çalındığını veya yetkisiz kullanıma
maruz kaldığını kanıtlamak zorunda kalacaktır. Bir noter tarafından onaylanan dijital imza inkâr edilemez.
Gizlilik-ĠmzalanmıĢ bir belgeye gizlilik eklemek için sadece alıcının açık anahtarını kullanarak Ģifrelemek gereklidir.
Tarafların Tanımlanması ve ĠĢlemin Ġçeriği
Sadece yasal olarak reĢit kiĢiler (normalde 18 veya daha yaĢlılar) bir sözleĢme imzalama hakkına sahiptir.
Tacirler, diğer tarafın yasal bir iĢlem yapmaya yetkisi olduğunu kendilerine kanıtlamak için her türlü aracı kullanabilirler. Her
türlü kanıtı isteyebilirler ve satın alanın verilerini kendi arĢivlerinde depolayabilirler. Suiistimal veya hata durumunda, satıcı
sözleĢmenin uygun bir biçimde uygulanmasından sorumludur. Dijital imza kullanımı sırasında sorumluluk dijital imzayı veren
yetkilide kalır. Bu yetkili, sertifikasyon yetkilisi olarak adlandırılır (CA). Eğer itiraz edilirse, dijital sertifika sahibi kiĢisel
anahtarın çalınmıĢ veya suiistimale uğradığını göstermek zorundadır.
Aynı varsayımlar iĢlemlerin (bütünlüğün) içeriği için de geçerlidir. Bütünlük, dijital imza sistemi kullanılırken korunmuĢtur. Aksi
durumda tacir yanlıĢ, eksik, anlamı karıĢık ve hatalı verilerden sorumludur.
Tacir, her zaman kredi kartı yolsuzluğu ve gizlilik ihlallerinden sorumludur.
SözleĢmenin Sona Erdirildiği Yer
Elektronik ticareti ilgilendiren en büyük sorun sözleĢmenin nerede sona erdirildiğini belirlemektir. Bu durum hukuku, yasaları
ve yönetmelikleri ilgilendirir.
SözleĢmeyle ilgili belli bir yasanın olmadığı durumlarda tek seçenek uluslararası hukuktur. Günümüz teknolojisi herkesin
sanal olarak dünyanın her yerinden kendi hizmet sağlayıcısına bağlanmasına olanak verir. Bu durum sözleĢmenin tam
yerinin belirlenmesinin olanaksızlaĢmasıyla sonuçlanır.
Çözüm, uluslararası yasaların doğru uygulanması ve uluslararası anlaĢmaların tali olarak uygulanmasında yatmaktadır.
En çok kabul gören yaklaĢım Ģunları belirtmektedir:


Eğer taraflar belli bir hukuk sistemi seçmiĢlerse, bu, uygulanabilir tek hukuktur
Eğer taraflar herhangi bir hukuk sistemi seçmemiĢlerse, sözleĢmeye en yakın iliĢkisi olan (hizmet sağlayıcının
ikametgâhı) veya ürün satıĢı olan durumlarda, tüketicinin ülkesindeki yasalar geçerlidir.
5.3.5.
Herhangi bir durumda, sözleĢmenin yerini saptamak zorlaĢtığından dolayı her türlü Ģekilde basiretli davranmak
zorunludur.
5.4.
5.4.1.
Kategori Ayırımı
Sonucun biçimden bağımsız olarak, biliĢimin gerçek özellikleri, elde edinenin bir tüketici olarak nitelikli duruma getirilmesidir
(hukuk her ülkede tüketiciyi korur). Dolayısıyla iĢten-iĢe ve Ģirketten-müĢteriye e-ticaret arasında fark vardır.
5.5.
5.5.1.
Dolandırıcılıkların Önlenmesi
Ekonomik sistem bir yandan tekliflerin/kabullerin tanımlamasına, diğer yandan da fon aktarımlarına, satın alma (hizmet veya
ürün almak istediğini gösterir) ve satma (ödeme almak istediğini gösterir) iĢlemleri sırasında, güvenli bir biçimde
gerçekleĢtirmeye dayanır. Dijital imza sistemi, bugün sadece yasal çevrimiçi ödeme olarak ortaya çıkmaktadır.
5.6.
5.6.1
Kredi Kartlarının Ġnternet Üzerinden Kullanımı
Günümüzde, internet üzerinden en çok kullanılan ödeme biçiminde kredi kartı kullanılır. Ancak, kredi kartı kullanımının
suiistimali için birçok olanak vardır (bu verilerin çevrimiçi yeniden üretilmesinin olanaklı olması gibi). Örneğin, bir iĢlem
makbuzunun, bunu yapmaya yetkisi olmayan birisi tarafından okunması ihtimali vardır.
Çevrimiçi iĢlemler için, bir kredi kartı sahibi olmak Ģart değildir, kredi kartının verileri yeterlidir. Kredi kartı suçları, kart
verilerinin yetkisiz biçimde kullanılmasıyla iĢlenir. Üç tür kredi kartı suçu vardır:
5.6.2



5.6.3.
Kart verilerinin suiistimali
Sahte kredi kartının sahiplenilmesi ve tahrifat
YasadıĢı bir kartın satılması veya satın alınması
Kredi kartının internet üzerinden yasadıĢı kullanımı, kart verilerini kullanarak dolandırıcılıkla para, mal veya hizmet edinme
amaçlıdır. Kart süresi dolduğunda, kart sahibi bu kartını kullansa bu durumda dahi bir suç iĢlenmiĢ sayılmaktadır.
140
G28 BiliĢim (Devamı)
6.
ADLĠ BĠLĠġĠMĠNĠN DENETĠM PLANLAMASININ ANA ÖĞELERĠ
6.1
6.1.1
6.1.2
Veri Koruma
AraĢtırılan bilginin, yok edilmesini, bozulmasını veya eriĢilememesini engelleyecek önlemlerin alınmıĢ olması zorunludur.
Ġlgili tarafların bilgisayardaki verilerden kanıt aranacağı konusunda bilgilendirilmesi de önemlidir. Bu amaçla ilgili tarafların
belli protokollerle elektronik kanıtları korumaları ve yok edilmemesi istenir.
Bir olaydan önce, adli biliĢim soruĢturma ve müdahale etme yeterliği var olmalıdır. Bu, konuyla ilgili altyapıyı ve süreci de
kapsar.
6.1.3
6.2
6.2.1
6.2.2
6.2.3
6.2.4
6.3
6.3.1
6.3.2
6.4
6.4.1
6.4.2
6.4.3
6.5
6.5.1
6.5.2
6.6
6.6.1
6.6.2
Veri Alınması
Bu süreç, verilerin ve bilginin kontrollü bir ortama taĢınmasını gerektirir.
Bu süreç, elektronik ortamda verilerin disklerde, teyplerde, disketlerde, sıkıĢtırılmıĢ dosyalarda toplanmasını da kapsar.
Bütün bu verilerin içeriği (imajı)uygun bir yöntem ve diğer bir araç ile gönderilerek korunmalıdır.. Bu dosyaların, virüsten
korunmuĢ ve üzerine yazmaya karĢı korunmuĢ olması ayrıca önemlidir.
Veriler, ilgili tarafların ve tanıkların ifadeleri yoluyla da elde edilebilir.
DeğiĢken verilerin elde edilmesi -açık portlar, açık dosyalar, etkin süreçler, kullanıcı giriĢleri ve RAM‘deki diğer veriler gibibirçok açıdan kritiktir. DeğiĢken veriler, geçicidirler ve bilgisayar kapandığında kaybolabilirler. Bu verilerin yakalanması,
araĢtırmacılara sistemde neler olup bittiğini belirleme konusunda yardım edecektir.
Ġmajlama
Verilerin, orijinal veri ve bilginin zarar göreceğinden korkmaksızın çok sayıda analiz yapılabilmesi için silinemez bire bir
kopyasının sağlanması anacıyla bütün verinin her bir bitinin kopyalanmasını gerektirir..
Ġmajlama, hedeflenen sürücünün kalıntı verilerini yakalanması amacıyla yapılır. Bir görüntü kopyası, disk yüzeyini, dosyadosya sektör-sektör yedekler. Kalıntı veriler, silinmiĢ dosyalar, silinmiĢ dosya görüntüleri, disk seviyesinde halen var olan
diğer verileri içerir. Uygun araçlar ile, yok edilen veriler(silinmiĢ veya araç formatlanmıĢ olsa bile) disk yüzeyinden
kurtarılabilir.
Çıkarma
Bu süreç, potansiyel olarak faydalı verilerin imajlanmıĢ veri kümelerinde tanımlanmasını ve ayrılmasını içerir. Bu, zarar
görmüĢ, değiĢtirilmiĢ veri veya tespit edilmesini önlemek için değiĢtirilmiĢ verileri kapsar.
Ġmajlama ve çıkarım sürecinin tamamı, kalite, bütünlük ve güvenilirlik standartlarını karĢılamak durumundadır. Buna
imajlamayı oluĢturmak için kullanılan yazılım ve imajlamanın yapıldığı ortam da dahildir. Ġyi bir karĢılaĢtırma, yazılımın
kullanılıp kullanılmadığı ve yasal merciler tarafından yetkilendirilip yetkilendirilmediği üzerinde olabilir. Kopyalar ve kanıtlar,
bağımsız doğrulamalara açık olmalıdır (KarĢı taraf ve mahkeme verilerin doğruluğu, güvenilirliği ve dokunulmamıĢ olması
konusunda ikna olmalıdır).
Çıkarım, sistem kayıtları, güvenlik duvarı kayıtları, saldırı belirleme sistem kayıtları, denetim kayıtları ve ağ yönetim bilgiyi
gibi birçok veri kaynağının incelenmesini kapsar.
Sorgulama
Bu süreç, çıkarılmıĢ verilerden telefon numaraları, IP adresleri ve bireylerin adları gibi iliĢkileri gösteren önceki göstergelerin
belirlenmesini kapsar.
ÇıkarılmıĢ verilerin, doğru analizinin yapılması önerilerde bulunulması ve uygun kanıtların hazırlanması için zorunludur.
Özümseme/NormalleĢtirme
Bu süreç, çıkarılmıĢ verilerin uygun teknikler kullanılarak araĢtırmacıların kolayca anlayabileceği biçimde depolanmasını ve
aktarımını kapsar. Bu süreç, onaltılık veya ikilik verilerin okunabilir karakterlere dönüĢtürülmesini, verilerin bir diğer ASCII
diline dönüĢtürülmesini veya veri analiz araçlarının biçimine uygun biçime dönüĢtürülmesini de kapsayabilir.
Verilerin arasındaki muhtemel iliĢkiler, araĢtırmacı varsayımlar geliĢtirmek amacıyla, birleĢtirme, iliĢkilendirme, grafikler,
haritalama veya zaman çizelgesine vurma gibi belli tekniklerle ortaya çıkarılır.
7.
RAPORLAMA
7.1
7.1.1
Yasal Kabul Edilebilirlik
Belirtildiği üzere burada önemli sorun, verilerin bulunması, toplanması, korunması ve mahkemede kabul görecek
biçimde saklanmasıdır. BS Denetçisi, raporun amacı ve ilgili alıcılar konusunda tam olarak bilgi sahibi olmalıdır.
Bu rapor, uygun bir Ģekilde olmalı ve yürütülen soruĢturmanın kapsamı, hedefleri, özellikleri, doğası, zamanlaması
ve sınırlarını ifade etmelidir.
Rapor, kurumu, ilgili alıcıları ve -varsa- dağıtım sınırlamalarını belirtmelidir. Rapor, açık bir biçimde bulguları, sonuçları ve
önerileri, BS Denetçisinin görevle ilgili niteliklerini ve tereddütlerini açıkça iletmelidir..
7.1.2
7.1.3
141
G28 Adli BiliĢim (Devamı)
Kanıt
Elektronik kanıt, büyük ana bilgisayarlardan cep bilgisayarlarına, disketlere, CD‘lere veya küçük elektronik yongalara kadar
geniĢ bir çeĢitliliğe sahiptir.
Endüstriye dayalı en iyi uygulamalara uyulması ve kendini ispatlamıĢ araçların kullanılması ve kanıtların zarar görmemiĢ
olmasını veya yok edilmemesini makul güvence altına almak için gereken özenin gösterilmesi gereklidir. Yasal yetkililerce,
doğru bir yargıya ulaĢabilmek için kanıtın bütünlük, güvenilirlik ve gizliliği zorunludur.. Yetkililere kanıtın doğru ve uygun
zamanda iletilmesi de önemlidir.
Internet e-posta izleme örneği:
7.2
7.2.1
7.2.2
7.2.3

Bir e-posta iletisi gönderildiğinde kullanıcı sadece alıcı hattını (alıcı ve baĢka alıcılar kısmını) ve konu kısmını kontrol
eder

Ġleti yazlımı geri kalanı ve üst bilgileri doldurur ve iĢlem baĢlar. Bir e-posta üstbilgisi örneği aĢağıdaki gibidir:
(1)
(2)
(3)
(4)
(5)
(6)
(7)
(8)
----- Ġleti Üst Bilgisi----DönüĢ yolu: <[email protected]>
Alındı: o199632.cc.navy.gov‘den nps.gov.org‘a (5.1/SMI-5.1) id AAO979O; Cuma, 7 Kasım 2003 18:51:49 PST
Alındı: yerel host o199632.gov.org‘dan (5.1/SMI-5.1); Cuma 7 Kasım2003 18:50:53 PST
Ġleti-Kimliği: <[email protected]>
Tarih: Cuma, 7 Kasım2003 18:50:53 -0800 (PST)
Gönderen: "Susan Rock" <[email protected]>
Alıcı: Mott Thick <[email protected]>
Diğer alıcılar: Jokey Ram<[email protected]>


Satır 1: iletinin gönderildiği alıcıları ve hata iletilerinin kime gönderileceğini anlatır (uyarılar ve geri dönenler)




Satır 4 :Ġleti kimliğidir, sadece bu ileti için tek bir tanımlayıcıdır. Bu kimlik kaydedilir ve eğer gerekirse izlenebilir

Satır 2 ve 3: gönderiden teslimata kadar iletinin rotasını anlatır. Bu iletiyi alan her bilgisayar tam adres ve zaman
eklenmiĢ olarak alındı alanı ekler; bu, teslimat sorunlarını izlemeye yardım eder
Satır 5 :iletinin tarihini, zamanını ve zaman çizgisini belirtir (göndericinin)
Satır 6 :gönderenin isim ve e-posta adresini gösterir
Satır 7 :ilk alıcının adını ve e-posta adresini gönderir. Adres aĢağıdakiler için olabilir:
- Posta listesi
- Sistemdeki diğerleri
- KiĢisel kullanıcı adı
Satır 8 :Nezaketen iletinin kopyası gönderilen ad ve adresleri (Cc) listeler. Bcc alıcıları da olabilir, bunlar postaların
kopyalarını alabilir fakat adları ve adresleri gözükmez.
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimlerinde 1 Eylül 2004 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe ISACA‘nın web
sitesinde www.isaca.org/glossary adresinde bulunabilir.
8.
8.1
Ek
CobIT Referansı
Denetim alanına uygulanacak en uygun COBIT materyalinin seçilmesi, belirli COBIT süreçlerinin seçilmesine ve COBIT bilgi
kıstaslarının göz önünde bulundurulmasına bağlıdır. Bilgisayar adli biliĢim incelemesinde, COBIT‘teki en ilgili olabilecek süreçler
aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilecek ve uygulanacak olan COBIT süreci ve kontrol hedefleri, iĢin kapsamı ve
görevlendirmenin iĢ sözleĢmesi ve Ģartlarına bağlı olarak değiĢebilir:
Birincil:








PO8-DıĢ gerekliliklerle uyumun sağlanması
AI1-Otomatik çözümlerin tanımlanması
DS1-Hizmet seviyelerini belirlenmesi ve yönetilmesi
DS2-Üçüncü taraf hizmetlerinin yönetilmesi
DS5- Sistemlerin güvenliğinin sağlanması
DS10-Sorun ve vaka yönetimi
DS11-Verilerin yönetimi
M1-Sürecin izlenmesi
142
G28 Adli BiliĢim (Devamı)

M3-Bağımsız güvence sağlanması
Ġkincil:






PO1-Stratejik BT planının tanımlanması
PO4 BT organizasyonunu ve iliĢkileri tanımlaması.
DS6-Maliyetlerin belirlenmesi ve dağıtımı
DS12-Tesislerin yönetimi
DS13-Faaliyetlerin yönetimi
M2-Ġç Kontrol yeterliğinin değerlendirilmesi
Adli biliĢimin gözden geçirilmesinde en ilgili bilgi kıstasları Ģunlardır:


Birincil-Güvenilirlik, bütünlük ve uyum
Ġkincil-Gizlilik ve eriĢebilirlik
143
G29 Uygulama Sonrasının Gözden Geçirilmesi
1.
ARKA PLAN
1.1.
1.1.1
Standartlarla Bağlantı
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve
yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.
S8 Denetim sonrası izleme faaliyeti Standardı:‖Bulguların ve önerilerin raporlanmasından sonra, BS Denetçisi
yönetim tarafından zamanında ve uygun bir Ģekilde harekete geçilip geçilmediğini belirlemek için ilgili bilgileri
istemeli ve değerlendirmelidir.‖ ġeklindedir.
1.1.2.
1.2
1.2.1
COBIT Bağlantısı
Yüksek seviye kontrol hedefi M4, Bağımsız Denetim Sağlanması, ―ĠĢin gereksinimlerine uygun ve en iyi uygulamalardan
faydalanmayı amaçlayan bağımsız denetim sağlanması Ģeklindeki BT süreci üzerindeki kontrol, düzenli aralıklarla yapılan
bağımsız denetimler yoluyla gerçekleĢir ve aĢağıdaki maddeleri göz önüne alır‖ Ģeklindedir.:






1.2.2
1.3.
1.3.1.
1.3.2.
1.3.3.
1.3.4.
Denetim bağımsızlığı
Ġleri dönük denetim
Denetimlerin nitelikli personel tarafından yürütülmesi
Bulguların ve önerilerin açıklığa kavuĢturulması
Denetim sonrası izleme faaliyetleri
Denetim önerilerinin etkilerinin değerlendirilmesi (maliyet, faydalar ve riskler)
Detaylı kontrol hedefi M4.6 Denetim ĠĢinin Yürütülmesi , ―Denetimler, denetim hedeflerine ulaĢılıp ulaĢılmadığının
belirlenmesi ve mesleki standartlara uyulup uyulmadığının belirlenmesi amacıyla uygun bir biçimde gözetlenmelidir.
Denetçiler, denetim hedeflerine ulaĢmak için yeterli, güvenilir, ilgili ve faydalı denetim kanıtları elde etmelidirler. Denetim
sonuçları, bu kanıtların analiz ve yorumlanmasıyla desteklenmek durumundadır.‖ Ģeklinde ifade eder.
COBIT Referansı
COBIT kaynakları, bu rehberde kapsanan alanlar için belli COBIT süreci veya hedefleri sunar. Denetlenen alana
uygulanacak en uygun COBIT materyalinin seçilmesi, belli COBIT sürecinin seçilmesine ve COBIT bilgi kıstaslarının göz
önünde bulundurulmasına bağlıdır.
Uygulama sonrası incelemeye, BT çözümünün uygulanmasından sonra ilk incelemede aĢağıdaki süreçler daha ilgilidir:















PO2-Bilgi mimarisinin belirlenmesi
PO4 BT organizasyonu ve iliĢkileri tanımlama
PO5-BT yatırımını yönetme
PO8-DıĢ gerekliliklerle uyumun sağlanması
PO9-Riskleri değerlendirme
PO10-Projeleri yönetme
PO11-Kaliteyi yönetme
AI1-Otomatik çözümlerin tanımlanması
AI2-Uygulama yazılımı edinme ve bakımı
AI3-Teknoloji altyapısını edinme ve bakımı
AI5-Sistem kurma ve akredite etme
AI6-DeğiĢiklikleri yönetme
DS7-Kullanıcıları eğitimi ve yetiĢtirilmesi
DS11-Veri yönetimi
M1-Süreçlerin izlenmesi
Uygulama sonrası incelemeyle en ilgili bilgi kıstasları Ģunlardır:


Birincil-Verimlilik ve etkinlik
Ġkincil-EriĢebilirlik, uyum, gizlilik, güvenilirlik ve bütünlük
Uluslararası Muhasebeciler Federasyonu (IFAC) Bilgi Teknolojisi Komitesi (ITC) Yönetmelikleri Ģunları içerir:


Bilgi Teknolojileri Çözümleri uygulaması
ĠĢe Etkilerinde Bilgi Teknolojileri Planlama Yönetimi
144
G29 Uygulama Sonrasının Gözden Geçirmesi
1.4.
1.4.1.
1.4.2.
1.4.3.
1.4.4.
Rehberin Amacı
Bu Rehberin amacı, gözden geçirme esnasında bilgi sistemi denetiminin ilgili standartlarına uygunluğu sağlamak için bilgi
teknolojileri çözümlerinin uygulama sonrası gözden geçirilmesini baĢarmak için önerilen uygulamaları tanımlamaktır.
Kurumlar, kendi gereksinimlerini karĢılamak için çeĢitli BT çözümleri uygularlar. Bu çözümler uygulandığında, BT
çözümlerinin etkinliğini ve uygulanma biçimlerini değerlendirmek amaçlı uygulama sonrası incelemeler ve -gerekliyseçözümü geliĢtirme amaçlı adımların baĢlatılması ve gelecek için öğrenme amaçlı kullanımı genellikle BS Denetçileri
tarafından gerçekleĢtirilir.
Bu rehberde önerilen kimi uygulamalar, uygulamaları baĢarısız olmuĢ veya baĢlamadan bırakılmıĢ projelerin gözden
geçirilmesinde de uygun düĢebilir.
Bu rehber, BS Denetim Standartları S6 Denetim ĠĢinin Yürütülmesi ve S8 Denetim Sonrası Ġzleme Faaliyetleri‘nin
uygulanmasında, uygulama sonrası incelemede yol göstericilik sağlar. BS Denetçisi, bunları yukarıdaki standartların
uygulamasının nasıl baĢarıldığını saptamada, mesleki yargılarını uygulamasında kullanmalı, herhangi bir sapmayı
gerekçelendirmeye hazır olmalıdır.
1.5.
1.5.1.
Rehber Uygulaması
Bu Rehberi uygularken BS Denetçisi, diğer ISACA Rehberleriyle iliĢkisini göz önünde bulundurmalıdır.
1.6.
1.6.1.
Tanım ve Genel Kapsam
Bu Rehberin amacı, BT çözümünün uygulama sonrası incelenmesi ve/veya uygulanması sürecinin bir BT çözümünün
öncesi veya sonrası ve/veya uygulama sürecini, uygulamadan sonra gerçekleĢtirmek aĢağıdakilerden birkaçını veya hepsini
değerlendirmeyi ifade eder.:













1.6.2.
Gerçek maliyet ve faydaların bütçe ile karĢılaĢtırılıp karĢılaĢtırılmadığı
Uygulama sürecinin verimliliği ve uygunluğu
Zaman ve/veya maliyet fazlalıklarının sebepleri ve -varsa- kalite ve/veya performans konularını
Çözümden kaynaklanan verimlilik ve performans geliĢmelerini
ĠĢ sürecinin ve iç kontrollerin uygulanma durumunu
Kullanıcı eriĢim kontrollerinin kurumsal politikayla uyum içinde uygulanıp uygulanmadığını
Kullanıcıların uygun biçimde yetiĢtirilip yetiĢtirilmediğini
Sistemin devam durumu ve verimli ve etkili bir biçimde geliĢtirilip geliĢtirilemeyeceğini
Geçerli ilgili özelliklerin ve usullerin uygulanıp uygulanmadığını
Ġlgili düzenleyici gereksinimlere ve kurumsal politikalara uygunluğunu
COBIT Kontrol Hedefleri ve COBIT Yönetim Rehberleriyle ilgili ise uyumunu
Çözümde veya uygulama sürecinde gelecekteki geliĢtirme fırsatlarını
Uygulama sonrası bir incelemenin hedefleri aĢağıdakileri içerebilir:

BT çözümü uygulamasından beklenenlerin karĢılanmasının sağlamasını ve kurumun iĢ hedeflerinin karĢılanması ve
uygunluğunu

Bilginin doğrulunu ve zamanlığını, bilginin iĢlenmesinin iĢ kurallarıyla uyumluluğu ve üretilen bilginin doğru, güvenilir ve
zamanında olmasını sağlamak için girdi, iĢlenmesi, ve çıktılar üzerindeki kontrollerin ve usullerin yeterliliğinin
değerlendirilmesini






1.6.3.
Çözümün planlanan amaçlarının gerçekleĢip gerçekleĢmediğini
BT çözümü tarafından üretilen yönetim kayıtlarının izlenmesi ve sürekliliği üzerindeki usullerin ve kontrollerin yeterliliğinin
değerlendirilmesini.
BT çözümü tarafından üretilen yönetim ve mali raporların doğruluğunun onayını
BT çözümü tarafından zorlanan uygulama seviyesi eriĢim kontrollerinin yeterliğinin sağlanmasını
BT çözümünde geçerli olan ve beklenmedik kesinti ve veri bütünlüğünü sağlayan özelliklerin yeterlilik onayını
BT çözümünün, sorumlu personelin olmadığı durumlarda verimli ve etkin biçimde desteklenmesinin sağlanmasını
Kontrollerdeki potansiyel risklerin ve zafiyetlerin tanımlanması, risklerin azaltılması ve kontrollerin güçlendirilmesini
Uygulama sonrası inceleme zorunlu olarak BT çözümüne yapılan yatırımın değerinin(Kurum tarafından tanımlanmıĢ ve
ölçülmüĢ) olup olmadığını ve elde edilen BT çözümünün yeterli bir biçimde yönetilip kontrol edilebilirliğini saptamak için
esaslı bir Ģekilde araĢtırır. Bu yatırımların geri dönüĢleri, faydaların gerçekleĢtirilmesi olarak sıklıkla adllandırılan ayrı bir
gözden geçirmenin konusunda kapsanabilirler.(Bölüm 8.1). Uygulama sonrası bir inceleme aĢağıdaki noktaları göz önünde
bulundurmalıdır:






BT çözümünün özellikleri
BT çözümünün amaçlanan kullanımı (ne amaçla, kim tarafından, ne zaman, nerede)
ĠĢ hedeflerinin gerçekleĢtirilmesinde BT çözümünün kritikliği
Denetlenen kurum yönetimiyle üzerinde uzlaĢılan gözden geçirmenin kapsamı
BaĢlangıç, geliĢme ve test aĢamalarında BT çözümünün denetim incelemesine tabi tutulup tutulmadığı
Proje uygulaması sırasında BS Denetçilerinin denetim-dıĢı katılımının olup olmadığı
145
G29 Uygulama Sonrasının Gözden Geçirilmesi (Devam)
2.
DENETĠM YÖNETMELĠĞĠ
2.1
2.1.1
Yetkilendirme (Görevlendirme)
BS Denetçisi, uygulama sonrası bir gözden geçirmeye baĢlamadan önce gözden geçirmeyi yapmak için gereken yetkiye
sahip olmalıdır. BS Denetçisi, gözden geçirmenin üçüncü tarafça baĢlatıldığı durumlarda bu tarafın gözden geçirmeyi
yönetmek için kurul görevi yapma yetkisinin olup olmadığına dair makul güvence sağlamalıdır.
3.
BAĞIMSIZLIK
3.1
3.1.1
Mesleki Nesnellik
BS Denetçisi, görevi kabul etmeden önce BT çözümünün kurumdaki gözden geçirmenin tarafsızlığını zedeleyebilecek
herhangi bir ilgisinin olup olmadığının makul güvencesini aramalıdır. Herhangi bir karmaĢık durumda, bu durumu mümkün
ise yönetime iletilmelidir ve görevi kabul etmeden önce kurum yönetiminin çatıĢmanın farkında olduğunun yazılı onayı
sağlanmalıdır..
3.1.2
BS Denetçisi, gözden geçirilen BT çözümünün uygulanmasında herhangi bir denetim dıĢı rolü varsa denetçi ― Rehber G17
BS Denetçisinin Bağımsızlığı üzerinde Denetim-dıĢı Rollerin Etkileri‖ni gözden geçirmelidir.
4
MESLEKĠ ETĠK VE STANDARTLAR
4.1.
4.1.1.
Uygulama Öncesi ve Sonrası Gözden Geçirmeler
Bir uygulama öncesi gözden geçirmeyle karĢılaĢtırıldığında, uygulama sonrası gözden geçirme normalde BT çözümü makul
bir süre boyunca(normalde süreç döngüleri boyunca veya birkaç ay boyunca) kullanıcı usulleri ve uygulama seviyesi
güvenliği uygulandığı zaman gerçekleĢtirilir.
Uygulama öncesi incelemeler, kontroller ve yönetim tasarımlarını veya test ortamlarında nasıl çalıĢtıklarını incelerler.
Uygulama sonrası gözden geçirmeler ise, kontrollerin ve yönetimin BT çözümü kurulduktan, yapılandırıldıktan ve üretim
ortamında uygulandıktan sonra nasıl çalıĢtıklarını araĢtırır.
Kaynakların mevcut olduğu yerlerde hem uygulama öncesi ve hem de sonrası gözden geçirmelerin yapılması tercih edilir.
Asıl BT çözümünün öncesinde -eğer kaynaklar mevcutsa- son dakika değiĢiklikler yapılabilmektedir.
BS Denetçisi, uygulama sonrası gözden geçirmeyi yaparken BT çözümünü uygulamaktan sorumlu proje sahibinin ve proje
takımının gözden geçirme sürecine dahil olduğunu makul güvencesini sağlamalıdır. Takım üyeleri, tipik bir gözden
geçirmenin bir parçası olarak aĢağıdakilerden oluĢmalıdır:
4.1.2.
4.1.3.
4.1.4.





BT çözümünün tasarımı, geliĢimi ve yayılmasıyla ilgili kiĢiler
Ġnceleme altındaki mevcut ve önerilen iĢ süreciyle ilgili çalıĢma bilgisine sahip kiĢiler
Ġlgili teknik bilgiye sahip kiĢiler
Kurumun iĢ stratejisiyle ve BT çözümünün stratejilere ulaĢmada katkısıyla ilgili bilgilere sahip kiĢiler
GerçekleĢme sürecinde faydaların izlenmesi ve ölçülmesi iĢlerine dahil olan kiĢiler
5.
YETERLĠLĠK
5.1.
5.1.1.
Bilgi ve Beceri
BS Denetçisi, BT çözümünün uygulama sonrası gözden geçirmesini yürütecek seviyede bilgi ve beceriye sahip olduğunun
makul güvencesini vermelidir. Uzman katılımının gerekli ise gereken katılımı sağlamalıdır.
6.
PLANLAMA
6.1.
6.1.1.
Ġncelemenin Kapsam ve Hedefleri
BS Denetçisi, kurumla danıĢıklı olarak, Uygulama Sonrası Ġncelemenin kapsam ve amaçlarını açık bir biçimde
tanımlamalıdır. Ġncelemede kapsamındaki alanlar, kapsamın bir bölümü olarak açıkça belirtilmelidir.
Ġncelemenin amacı için uygulamadaki paydaĢlar tanımlanmalıdır.
BT çözümü veya uygulama sürecinin herhangi bir önceki incelenmesinin bulguları ve sonuçları (uygulama öncesi gözden
geçirme veya aynı anda yapılan bir gözden geçirme) denetim planlamasının ve kapsamın belirlenmesinde göz önünde
bulundurulmalıdır.
6.1.2.
6.1.3.
6.2.
6.2.1.
SözleĢmenin Ġmzalanması
BS Denetçisi, kurumsal uygulamalara bağlı olarak, kurumdaki ilgili tarafların referans koĢullar ve yaklaĢım için iĢbirliğini
sağlamalıdır. Eğer gözden geçirme üçüncü bir tarafça baĢlatılıyorsa, onlar da sözleĢme koĢullarını kabul etmelidir.
6.3.
6.3.1.
YaklaĢım
BS Denetçisi, gözden geçirmenin amaç ve kapsamının tarafsız ve mesleki bir tarzda yürütülmesinin makul güvencesini
sağlamak için yaklaĢımını doğru biçimlendirmelidir. YaklaĢım uygun biçimde belgelenmelidir. Uzman kullanımı, yaklaĢımın
bir bölümü olarak belirtilmelidir. Uygulama sonrası gözden geçirmeler BT çözümünün uygulanma sadece öncesi ve sonraki
gözden geçirmeyle sınırlı değildir. Uygulanan çözümdeki geliĢmeleri belirtmek için çok sayıda gözden geçirme yapılabilir.
146
G29 Uygulama Sonrasının Gözden Geçirilmesi(Devamı)
7.
DENETĠM ĠġĠNĠN GERÇEKLEġTĠRĠLMESĠ
7.1
7.1.1
Uygulama Sonrası Ġncelemenin Yapılması
BT çözümü uygulandıktan sonra makul bir zamanda uygulama sonrası gözden geçirme planlanmalıdır. Çözümün çeĢidine ve
ortamına bağlı olarak tipik bir zamanlama 4 haftadan altı aya kadar yayılabilir.
Uygulama sonrası bir gözden geçirmenin, çalıĢan son BT çözümünün bir değerlendirilmesi ve incelenmesi olması planlanır.
Ġdeal olanı, uygun olan bir gözden geçirmenin yapılabilmesi için en azından tam uygulama ve raporlama döngüsü olmasıdır.
Gözden geçirme, hâlihazırda ilk baĢtaki konularla ilgileniliyorsa veya halen kullanıcı eğitimine ve yetiĢtirilmesine devam
ediliyorsa gerçekleĢtirilmemelidir. Fakat, mümkün ise BT çözümünden en yüksek fayda elde edilmesi için gözden geçirme
gerçekleĢtirilmelidir.
Ġnceleme usulleri var olan belgelerin(iĢ durumunun, iĢ gereksinimlerinin, olabilirlik çalıĢmasının, sistemin, kullanıcı ve iĢlem
belgelendirmesinin, ilerleme raporlarının, toplantı tutanaklarının, maliyet/fayda raporlarının, test ve eğitim planlarının ve yazılı
metinlerin vb.), paydaĢlarla yapılan görüĢmelerin, mevcut tecrübelerin ve BT çözümleriyle aĢinalığın, iĢ ve proje personelinin
gözlemlenmesi ve araĢtırılması, faaliyet ve kontrol belgelendirmesinin incelenmesini de içermelidir.
Uygulama sonrası gözden geçirmeyi gerçekleĢtirmek için uygun kaynaklar tanımlanmalı ve tahsis edilmeli, incelemenin
uygulanmasıyla ilgili denetim personeli ile birlikte planlanmalıdır.
Uygulama sonrası gözden geçirmenin sonuç raporunun -olanaklıysa- biçimi, içeriği, kapsadığı bölüm ve zamanlaması
üzerinde anlaĢmaya varılmalıdır.
BT çözümünün belirtilen amaçları, maliyet ve faydaları üzerinde ayrıntılı bir biçimde çalıĢılmalıdır. Gerçek maliyet ve
amaçlara ulaĢma derecesi, performansın maliyet ve fayda raporları ve sistemleri ve elde etme ve izlemede kullanılan
süreçler ve sistemler ile birlikte değerlendirilmelidir. Bu uygulamanın bir parçası olarak üretkenlik/performans geliĢimleri de
değerlendirilmelidir. Bu bağlamda uygun ölçüm kıstasları kullanılmalıdır. Varsa maliyet ve zaman aĢımları, sebep ve sonuç
iliĢkileri açısından analiz edilmelidir. Kontrol edilebilen ve edilemeyen sebepler ayrı ayrı tanımlanmalıdır.
BT çözümünü tanımlamak ve uygulamak için kullanılan süreç, uygunluğu olduğu kadar verimliliği açısından da
değerlendirilmelidir.
Kullanıcılara ve BT çözümünü destekleyen personele sağlanan eğitimin ve yetiĢtirmenin yeterliliği ve verimliliği
incelenmelidir.
Uygulama öncesi temelli önceden dıĢ veya iç inceleyiciler tarafından yapılmıĢ her türlü gözden geçirme üzerinde çalıĢılmalı
ve önerilerin ve atılan adımların durumu doğrulanmalıdır.
Uygulama sonrası gözden geçirme bir BT çözümünü incelediği için genellikle, BT çözümünün ilgili COBIT kontrol hedeflerini
karĢılaması beklenir. Ġlgili kontrol hedefleriyle uyumun ve uyumsuzluğun derecesi analiz edilip rapor edilmelidir. Ayrıca,
COBIT Yönetim Kılavuzlarından kritik baĢarı etmenleri, anahtar hedef göstergeleri, anahtar performans göstergeleri ve
olgunluk model karĢılaĢtırmaları BT çözümü ve incelenen uygulama süreci için uyarlanmalıdır.
Toplanan veriler, yapılan analizler, varılan sonuçlar ve önerilen düzeltici adımlar için önerilen düzeltici faaliyetlerin uygun
yönetim kayıtları sağlanmalıdır.
Uygulama sürecinin ve BT çözümlerinin, yasalarla, düzenleyici gereksinimlerle, kurumsal politikalarla ve standartlar ile
uyumun derecesi de incelenmelidir.
Uygun ise otomatik test araçları ve BDDT, BT çözümünün ilgili yönünü ölçmek için kullanılabilir.
Gözden geçirmede, gerekli düzeltici adımlar için risklere ve sorunlara, kontrollerin geliĢtirilmesi için fırsat ile birlikte ve
uygulama sürecinin etkinliğinin artırılmasına vurgu yapmalıdır...
Rapor edilmiĢ bulgular, sonuçlar ve öneriler, tarafsız bir analize ve bilgilerin tarafsız yorumlanmasına ve inceleme sonrası
gözden geçirme esnasında sağlanan kanıtlara dayandırılmalıdır.
7.1.2
7.1.3
7.1.4
7.1.5
7.1.6
7.1.7
7.1.8
7.1.9
7.1.10
7.1.11
7.1.12
7.1.13
7.1.14
7.1.15
8
FAYDA GERÇEKLEġMESĠ ĠNCELEMELERĠ
8.1
8.1.1
Fayda GerçekleĢmesi Ġncelemesi
Bütün BT projeleri aslında iĢ projeleridir ve baĢlangıçtan itibaren iĢ temeline sahiptirler. BaĢarıları veya baĢarısızlıkları, mali
açıdan veya stratejik iĢ planına yaptıkları katkı oranıyla ölçülmelidir. Fayda gözden geçirmeleri sadece nelere ulaĢıldığına
değil aynı zamanda geriye kalan yapılacak Ģeylere de odaklanmalıdır. Kurumlar, bu uygulamaları en iyi uygulamalarına
vurgulamakta ve dersler çıkarmakta kullanmalıdırlar.
8.2.
8.2.1
Fayda GerçekleĢmesi Ġncelemesi Amaçları
Fayda gerçekleĢmesi gözden geçirmesinin hedefleri, yeni BT çözümünün faaliyet baĢarısını ve gerçek maliyet, fayda ve
tasarrufları bütçede öngörülenlerle karĢılaĢtırıp değerlendirmektir. Ġnceleme, BT çözümünün verimliliğini de ölçebilir. Önemli
bir öğe, orijinal sistem hedeflerine ve zamanlanan etkinliklere eriĢilip eriĢilmediğidir. Bu, ―OLMASI GEREKEN‖ hedeflere ne
ölçüde ulaĢılabildiğini değerlendirmek için. ―OLMASI GEREKEN‖ VE ―OLAN‖ süreçlerinin ayrıntılı anlaĢılmasını gerektirir.
Bir uygulama sonrası fayda gerçekleĢmesi gözden geçirme raporu aĢağıdaki alanları kapsamalıdır:
8.2.2






Bütçede belirtilen maliyetlerle gerçekleĢen maliyetlerin karĢılaĢtırılması
Bütçede belirtilen faydalarla gerçekleĢen faydaların karĢılaĢtırılması
Yatırımın getirisi
Bütçede belirtilen tasarruflarla gerçekleĢen tasarrufların karĢılaĢtırılması
Planlanan proje tamamlama tarihleri ile gerçekleĢen proje tamamlama tarihlerinin karĢılaĢtırılması
GerçekleĢen amaçlarla planlanan amaçların karĢılaĢtırılması
147
G29 Uygulama Sonrasının Gözden Geçirilmesi(Devamı)




Belgelendirme ve kontrollerin -yönetim kayıtları dahil- yeterlilik ve kalitelerinin değerlendirilmesi
GerçekleĢen BT çözüm performansının beklenenle karĢılaĢtırılması
Yeni BT çözüm sisteminin anlaĢılması ve kullanıcı memnuniyeti
Gelecekteki BT çözüm uygulama projeleri için performans geliĢtirme önerileri
9.
DIġARDAN KAYNAK SAĞLANMASI
9.1
9.1.1
BT‘nin DıĢ Kaynaktan Sağlanması
BS Denetçisi, kurum kısmen yada tamamen birilerine devretmiĢ veya BT çözüm uygulamasını dıĢtan hizmet sağlayıcılara
verdiği durumlarda, bu tür düzenlemelerin etkilerini araĢtırmalıdır ve sözleĢmelere, anlaĢmalara ve düzenlemelere uyulup
uyulmadığını gözden geçirmelidir.
BS Denetçisi, dıĢarıdan kaynak sağlanan hizmetlerin doğasını, zamanlamasını ve sınırlarını anlamalıdır. Ayrıca, iĢin
gerektirdiği konularda ve kurum tarafından istenilen konularda ne tür kontrollerin uygulandığını araĢtırmalıdır (Rehber G4 BS
Diğer Kurumların DıĢ Kaynaklı BS Faaliyetleri Rehberine bakınız).
9.1.2
10.
RAPORLAMA
10.1
10.1.1
Rapor Ġçeriği
Uygulama sonrası gözden geçirme ile ilgili rapor, amaç ve kapsama bağlı olarak aĢağıdaki alanları kapsamalıdır:
10.1.2
10.2
10.2.1


Kapsam, amaç, izlenen yöntem ve yapılan varsayımlar







Uygulama sürecinin önemli zayıflıklar ve güçlü alanlar ve zayıflıkların muhtemel etkileri açısından değerlendirilmesi
Hedeflenen amaçların ulaĢılıp ulaĢılmadığının değerlendirilmesi ve BT çözümlerinin iĢin amaçlarını karĢılayacak biçimde
düzenlenip düzenlenmediğinin belirlenmesi
Önemli zafiyetlerin üstesinden gelmek ve uygulama sürecini geliĢtirmek için öneriler
Potansiyel riskler ve bu tür riskleri azaltmak için araçlar
COBIT bilgi kıstaslarıyla uyumun derecesi
Gelecekteki BT çözümlerini ve uygulama sürecini geliĢtirmek için öneriler
Uygulanan BT çözümü için kullanıcıların yetiĢtirilmesi
Tüm kurumda BT çözümlerinin kabulü ve uyarlanabilirliği
Gözlemler ve öneriler, kurum ve paydaĢlar (olanaklıysa hizmet sağlayıcı dahil) arasında rapora son hali verilmeden önce
geçerli hale getirilmesi
10.2.3
Zayıflıklar
Kontrol olmamasından veya sürecin zayıf uygulamasından veya ilgili risklerin kabul edilebilir seviyelere indirilememesinden
doğan uygulama sonrası gözden geçirme sırasında tanımlanan zayıflıklar, iĢ sahibinin ve BT çözümünden sorumlu BS
yönetiminin dikkatine sunulmalıdır. Zayıflıkların, önemli veya ―somut‖ olduğunun düĢünüldüğü durumlarda, düzeltici
önlemlerin erkenden alınabilmesi amacıyla, yönetimin uygun bir kademesi derhal haberdar edilmelidir.
BT çözümleri ile ilgili etkili kontroller genel BT kontrollerine bağlı olduğundan, bu alanlardaki her türlü zayıflık rapor
edilmelidir. Genel BT kontrollerinin kontrol edilmediği durumlarda, bu durum raporda belirtilmelidir.
BS Denetçisi, ilgili riskleri azaltmak için kontrolleri güçlendirmek amacıyla uygun önerileri rapora dahil etmelidir.
11.
DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ
11.1
11.1.1
Zamanlılık
Uygulama sonrası gözden geçirmeyle tanımlanan zayıflıkların etkileri, yaygın ve yüksek riskli olabilir. BS Denetçisi, bu
yüzden zayıflıkları gidermek ve riskleri etkin bir biçimde yönetmek amacıyla yönetimin gereken önlemleri aldığını doğrulamak
için denetim sonrası izleme faaliyetini zamanlı bir Ģekilde gerçekleĢtirmelidir.
12.
12.1
YÜRÜRLÜK TARĠHĠ
Bu rehber bütün BS Denetimlerinde 1 Ocak 2005 tarihinden itibaren etkindir. Terimlere ait tam bir sözlükçe ISACA web
sitesinde bulunabilir (www.isaca.org/glossary).
10.2.2
Referans
BS Denetim Rehberi G23 Sistem GeliĢtirme YaĢam Döngüsü (SDLC) Ġncelemesi
148
G30 Yeterlilik
1
ARKA PLAN
1.1
1.1.1.
Standartlarla Bağlantı
S4 Mesleki Yeterlilik Standardı: ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve
mesleki açıdan yeterli olmalıdır.BS Denetçisi, sürekli mesleki eğitim almak suretiyle mesleki yeterliğini devam
ettirmek durumundadır.‖ Ģeklinde ifade eder.
1.2.
1.2.1.
COBIT Bağlantısı
Yüksek seviye kontrol amacı M3 (Bağımsızlık Güvencesi) ―… kurumlar, müĢteriler ve üçüncü taraf tedarikçiler arasında
güveni artırmak amacıyla bağımsızlık güvencesi elde edilmelidir‖.Ģeklide ifade eder.
Yüksek seviye kontrol amacı M4 (Bağımsız Denetim) ―… en iyi (örnek) uygulamalardan faydalanmak ve güven seviyelerini
artırmak amacıyla bağımsız denetim sağlanmalıdır‖. Ģeklide ifade eder.
Ayrıntılı kontrol amacı M3.7 (Bağımsızlık Güvencesi ĠĢlevinin Yeterliği) ―Yönetim, bağımsızlık güvence biriminin, bu tür
incelemeleri etkin, verimli ve ekonomik bir biçimde yerine getirmek için gereken teknik yeterliğe, beceri ve bilgiye sahip
olduğundan emin olmalıdır‖. Ģeklide ifade eder.
Ayrıntılı kontrol amacı M4.4 (Yeterlilik-yetkinlik) ―Yönetim, kurumun BT faaliyetlerini incelemekten sorumlu denetçilerin teknik
olarak yetkin ve hepsinin de bu tür incelemeleri etkin, verimli ve ekonomik bir biçimde yerine getirmek için gereken beceri ve
bilgiye (CISA) sahip olduklarından emin olmalıdır. Yönetim, BS Denetimiyle görevlendirilen denetim personelinin uygun
sürekli mesleki eğitimini devam ettirerek mesleki yeterliliklerini korumak durumundadır‖. Ģeklinde ifade eder.
1.2.2.
1.2.3.
1.2.4.
1.3.
1.3.1.
1.3.2.
1.3.3.
1.3.4.
1.4.
1.4.1.
1.4.2.
1.4.3.
1.4.4.
1.4.5.
1.4.6.
COBIT Referansı
COBIT kaynakları, bu rehberde anlatılan alanların incelenmesi sırasında göz önünde bulundurulması gereken COBIT süreci
veya belli amaçları ortaya koyar. En uygun materyalin seçimi belli COBIT BT sürecinin seçimine ve COBIT kontrol
amaçlarının ve ilgili yönetim uygulamalarının dikkate alınmasına bağlıdır. Gereksinimleri karĢılamak için COBIT sürecinin en
uygun olanlarının seçilip uyarlanması, birincil ve ikincil olarak sınıflandırılması gereklidir. Seçilecek ve uyarlanacak olan süreç
ve kontrol amaçları, görevin belli kapsam ve koĢullarına bağlı olarak değiĢebilir.
Birincil:
 PO7-Ġnsan Kaynakları Yönetimi
 M2-Ġç Kontrol yeterliğinin Değerlendirilmesi
 M3-Bağımsızlık Güvencesi Elde Edilmesi
 M4-Bağımsız Denetimin Sağlanması
Ġkincil:
 DS1-Hizmet Seviyelerinin Tanımlanması ve Yönetimi
 DS2-Üçüncü Taraf Hizmetlerinin Yönetimi
 DS3-Performans ve Kapasite Yönetimi
 DS7-Kullanıcı Eğitimi ve YetiĢtirilmesi
 M1-Sürecin Ġzlenmesi
Yetkinlikle en ilgili bilgi kıstasları Ģunlardır:
 Birincil: verimlilik, etkinlik ve eriĢebilirlik
 Ġkincil: gizlilik, bütünlük, uyum ve güvenilirlik
Rehber Amacı
BS Denetçilerinin alanlarında ileri seviyede yetkin olmaları beklenir. BS Denetçilerinin, bu hedefi karĢılamak amacıyla
görevlerini yapabilmek için gereken yetenekleri ve bilgileri edinmeleri gereklidir. Ġlave zorluk, sürekli bilgi ve becerilerini
sürekli geliĢtirerek yeterliliklerini korumalıdır..
BS Denetçileri, uzman hizmetleri sağlamayı kabul ederek mesleki hizmetlerin yürütülmesi için gerekli arzu edilen uzmanlık
seviyesinin uygunlunu ve BS Denetçinin, mesleki özen ve dikkat ile yürüteceğini ifade etmelidir.
BS Denetçileri, yüksek seviyede yetkinlik beklentisi karĢısında hizmetlerin gerçekleĢtirilmesinde tatmin edici güvence
sağlamak için tavsiye ve yardım sağlamadan yetkin olmadıkları konularda hizmet vermekten kaçınmalıdırlar.
BS Denetçisi, mesleki denetim standartlarının karĢılandığını ve denetlenen kurumun, yürürlükteki yasa, teknik ve alanlarında
son yeniliklere dayanan uzman mesleki hizmet alma avantajını aldığına makul güvence sağlamak için gerekli seviyede
mesleki bilgi ve tecrübesini korumak sürekli bir görevdir ve beklenen özen, uzmanlık ve dikkatle mesleki hizmetlerini
gerçekleĢtirmelidir.
ISACA‘nın belirtilen vizyonu BT yönetiĢiminde, kontrol ve güvencede küresel bir lider olarak tanınmıĢ olmaktır. ISACA,
vizyon konusunda açıkça bellidir ki CISA ile ölçülen gerekli en son bilgi ve tecrübeyle uzmanların sunduğu gelecekteki
baĢarının büyüyeceği açıktır.. ISACA, bu beceri ve faaliyetleri tanımlamada ve tasarlanan yöntemlerle ölçme ve
değerlendirme en öndedir. Bu bağlamda, BS Denetçilerine, gereken bilgi ve becerileri edinmede ve denetim görevlerini
yerine getirmede yol göstericilik sağlamak amacıyla bir rehbere gereksinim vardır.
Bu rehber BS Denetim Standardı S4 Mesleki Yeterlilik uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki
standartların uygulanmasında baĢarılı olmak için bu Rehberi göz önünde bulundurmalı, mesleki yargılarını kullanmalı ve her
türlü sapmayı gerekçelendirmeye hazır olmalıdır.
149
G30 Yeterlilik (Devamı)
1.5.
1.5.1.
Rehber Uygulaması
Bu Rehberi uygularken BS Denetçisi, ilgili diğer ISACA standart ve Rehberleriyle iliĢkiyi göz önünde bulundurmalıdır.
2.
SORUMLULUK
2.1.
2.1.1.
Bilgi ve Beceri
BS Denetçisi, birincil olarak gerçekleĢmek üzere anlaĢtığı görevi yapmak için gereken mesleki ve teknik becerileri
edinmekten sorumlu olmalıdır.
Denetim yönetiminin, ikincil olarak görevi gerçekleĢtirmek için BS Denetçisinin gereken mesleki ve teknik bilgi ve becerilere
sahip olduktan sonra denetim görevinde belirtme sorumluluğu vardır.
Denetim yönetimi, denetimi yapacak takımın gereken bilgi ve becerilere sahip olmasını sağlamaktan da sorumludur.
Bilgi ve beceri, BS Denetçisinin denetimle ilgili rolüne ve konumuna bağlı olarak değiĢir. Yönetimin bilgi ve becerisine olan
gereksinim sorumluluk seviyesine uygun olmalıdır.
Bilgi ve beceriler, risk ve kontrollerin tanımlanması ve yönetilmesindeki yetkinliğin yanında denetim araç ve tekniklerinde
uzmanlığı da kapsar. BS Denetçisi, analitik ve teknik bilgi ile birlikte, görüĢme ve sunum gibi kiĢilerarası becerilere de sahip
olmalıdır.
2.1.2.
2.1.3.
2.1.4.
2.1.5.
2.2.
2.2.1.
2.2.2.
2.2.3.
2.2.4.
2.2.5.
2.2.6.
2.3.
2.3.1.
2.3.2.
2.3.3.
2.4.
2.4.1.
2.4.2.
2.4.3.
2.4.4.
2.4.5.
2.4.6.
Yeterlilik
Yeterlilik, yeterli derecede eğitim ve deneyim yoluyla bilgi, beceri ve uzmanlığa sahip olmak anlamını taĢımaktadır.
BS Denetçisi,, gereken seviyede bilgi ve beceriye sahip olduğu hususunda gereken makul güvence sağlamalıdır.
BS Denetçisi, beklenen ve/veya arzu edilen yetkinlik seviyesini uygun karĢılaĢtırmalara dayalı olarak tasarlamalıdır ve bu
karĢılaĢtırmalar düzenli olarak incelenmeli ve güncellenmelidir.
BS Denetçisi ve/veya denetim yönetimi, görevi kabul etmeden önce denetim görevinin yerine getirilmesi için yetkin
kaynakların varlığına dair makul güvence sağlamalıdır ve bu kaynakların denetim baĢlamadan önce
sağlamalı/onaylanmalıdır.
Denetim yönetimi, takım üyelerinin denetimi gerçekleĢtirmek için yetkin olmalarını sağlamaktan sorumludur. Takım üyelerinin
temel uzmanlıklarının tanımı, eldeki kaynakların etkin kullanımı konusunda faydalı olacaktır.
BS Denetçilerinin deneyimlerini, en iyi uygulamaları ve öğrenilen dersleri, üyelerin yeterliliklerini geliĢtirmek amacıyla
paylaĢmaları uygun görülmektedir. Takım üyelerinin yeterlilikleri, takım oluĢturma oturumları, çalıĢma grupları, seminerler,
dersler ve diğer etkileĢim yolları ile de geliĢtirilebilir.
Sürekli Mesleki GeliĢim
BS Denetçisi, yeterliliğin kabul edilebilirlik seviyesini korumak için sürekli bilgi ve becerilerini izlemelidir.
Sürekli mesleki eğitim yoluyla sürdürme eğitim, eğitim kursları, sertifika programları, üniversite kursları, konferanslar,
seminerler, çalıĢma grupları, telekonferanslar, web yayınları ve çalıĢma halkası toplantıları yoluyla olabilir fakat bunlarla
sınırlı değildir.
Bilgi ve becerinin elde etme ve yeterliliğin korunmasının seviyesi, sürekli izlenmeli ve bu tür beceriler, bilgi ve yeterlilik
düzenli olarak değerlendirilmelidir.
Değerlendirme
Değerlendirme dürüst, Ģeffaf, kolay anlaĢılır, açık, tarafsız yerine getirilmelidir ve iĢ yapılan çevrede genel kabul görmüĢ
uygulamalar olarak dikkate alınmalıdır..
Değerlendirme kıstasları ve usulleri açıkça tanımlanmalıdır, fakat coğrafi konum, politik iklim, görevin özellikleri, kültür ve
diğer Ģartlara bağlı olarak değiĢebilir.
Bir denetim firması veya denetçiler grubunun olduğu durumlarda, değerlendirme takımlar arasında veya bireyler arasında
çapraz iĢlevli tarzda yapılmalıdır.
Bir tek bağımsız BS Denetçisi olması durumunda, değerlendirme ikili iliĢki tarafından olanaklı olan sınırlara kadar
yapılmalıdır. Ġkili iliĢkinin olanaklı olmadığı, durumlarda öz değerlendirme yapılmalı ve belgelenmelidir.
Ġç BS Denetçisinin performansının değerlendirilmesi için uygun seviyede bir yönetici gereklidir ve ayrıca uygun veya gerekli
olan yerlerde dıĢ BS Denetçisi(denetçiler) için de aynı Ģey gereklidir.
Değerlendirme sırasında fark edilen boĢluklar uygun bir biçimde giderilmelidir.
150
G30 Yeterlilik(DEVAMI)
2.5.
2.5.1.
2.5.2.
2.5.3.
2.5.4.
2.6.
2.6.1.
2.6.2.
2.6.3.
BoĢluk Analizi ve Eğitim
Beklenen yetkinlik seviyesi ve gerçek yetkinlik seviyesi arasında fark edilen boĢluklar, kaydedilmeli ve analiz edilmelidir.
Herhangi bir kaynakta eksiklik var ise, eksikliklerin giderilmesinde yeterli tedbir alınmadıkça denetim görevinin
yürütülmesinde faydalanmamalıdır. Fakat, denetim görevi baĢladıktan sonra bozukluğun farkına varılırsa BS
Denetçisi/denetim yönetimi eksik kaynağı(kaynakları) geri çekmeyi ve yerlerine yetkin bir kaynak koymayı düĢünmelidir.
Fakat zorunluluk durumunda, denetimin sürekliliği açısından o kaynağı kullanmak önerilirse var olan boĢluk denetlenene
anlatılmalıdır.
BoĢluğun sebebini ortaya çıkarmak için kök sebep analizinin yapılması ve eğitim gibi düzeltici adımların atılması önemlidir.
Bir denetim için gereken eğitim faaliyetleri denetim baĢlamadan önce ve makul bir sürede bitirilmelidir.
Eğitimin verimliliği, eğitimin bitiminde makul bir zaman sürecinde ölçülmelidir.
Yetkin Kaynakların Kullanılabilirliği
BS Denetçisi/denetim yönetim,i öneriyi cevaplamadan önce denetim için gereken bilgi ve beceri gereksinimini analiz etmeli
ve değerlendirmelidir,
BS Denetçisi/denetim yönetimi, denetime baĢlamadan önce gerekli bilgi ve becerilere sahip olunduğu konusunda makul
güvence sağlamalıdır.
BS Denetçileri, kendilerini sahip olmadıkları deneyim, yetkinlik ve uzmanlığa sahiplermiĢ gibi göstermemelidirler.
2.7.2
DıĢ Kaynak Satın Alma
Denetimin herhangi bir bölümünde dıĢ destek veya uzman yardımı alınmıĢsa, bu dıĢ kaynağın gerekli yetkinliğe sahip olduğu
konusunda makul güvence sağlanmalıdır. Bu rehber, bir dıĢ uzman seçimine de uygulanabilir.
Eğer uzman yardımı, sürekli olarak alınmıĢsa bu dıĢ uzmanların yeterliliği düzenli olarak izlenmeli/denetlenmelidir..
3.
MESLEKĠ EĞĠTĠMĠN SÜRDÜRÜLMESĠ
3.1.
3.1.1.
3.1.2.
Mesleki Kurumlara Olan Gereksimin
Mesleki eğitimi devam ettirmek (CPE) bilgi ve becerileri güncellemek ve korumak için kullanılan bir yöntemdir.
BS Denetçileri, ilgili kurumlar tarafından belirlenen CPE politikası Ģartlarına uymalıdırlar.
3.2.
3.2.1.
Seçilebilir Programlar
CPE programları, bilgi ve becerilerin geliĢtirilmesine yardımcı olmalıdır ve BS güvence, güvenliğinin ve yönetiĢiminin mesleki
ve teknik ihtiyaçlarıyla iliĢkili olmalıdır..
Mesleki kurumlar, normalde CPE için seçilebilecek programlar önerirler. BS Denetçileri, ilgili mesleki kurumlar tarafından
belirlenen normlara uymalıdırlar.
2.7.
2.7.1
3.2.2.
3.3.
3.3.1.
3.3.2.
3.4.
3.4.1.
CPE kredilerinin iĢlevi
Mesleki kurumlar, normalde CPE kredilerinin gerekliliğini ve güncel tutulmalarını tanımlarlar. BS Denetçileri, ilgili kurumlar
tarafından ortaya konulan bu tür normlara uymak durumundadırlar.
BS Denetçisi, BS Denetçisinin asgari krediler amacı için birden fazla mesleki kuruluĢ ile ilgili olduğu durumlarda, CPE
kredilerinin iĢe yaraması aynı durumun ilgili mesleki kurumlar tarafından çerçevesi çizilmiĢ kurallarla uyumlu olması Ģartıyla
amacıyla kendi yargılarını kullanabilir. .
ISACA‘nın CPE Politikası
ISACA, sürekli mesleki eğitim konusunda üyelerine ve CISA sahiplerine kapsamlı bir politikaya sahiptir. CISA sahibi BS
Denetçileri, ISACA‘nın CPE Politikasıyla uyumlu olmalıdır. Politikanın ayrıntıları ISACA‘nın web sitesinde
(www.isaca.org/CISAcpepolicy) görülebilir. Politika aĢağıdakiler için kıstaslar açıklar:
 Sertifikasyon Ģartları
 Devam formunun onayı
 Mesleki Etik Kuralları
 Sürekli mesleki eğitim saatlerinin denetimleri
 Ġptal, tekrar gözden geçirme ve baĢvuru
 Emekli ve uygulanmayan CISA durumu
 Nitelikli eğitim faaliyetleri
 Sürekli mesleki eğitim saatlerinin hesaplanması
151
G30 Yeterlilik(Devamı)
4.
KAYITLAR
4.1.
4.1.1.
Beceri Matrisleri ve Eğitim Kayıtları
DeğiĢik iĢ seviyeleri için gerekli beceriyi, bilgiyi ve yetkinliği gösteren bir beceri matrisi oluĢturulmalıdır. Bu matris, mevcut
kaynaklar, bilgi ve beceriyle çapraz iliĢkilendirilmiĢtir. Bu matris boĢlukların ve eğitim gereksinimlerinin tanımlanmasında
yardımcı olacaktır.
Sağlanan eğitimin kayıtları, eğitim ve eğitimin verimliliği ile ilgili dönütlerle birlikte analiz edilmeli ve gelecek kullanımlar için
saklanmalıdır.
4.1.2.
4.2.
4.2.1.
CPE Kayıtları
ISACA dahil ilgili kurumlar tarafından ortaya konulduğu üzere, BS Denetçileri uygun CPE programlarının kayıtlarını tutmakla,
belli aralıklarda tutmakla ve gerekirse denetimler için saklamakla yükümlüdürler.
5.
5.1.
YÜRÜRLÜK TARĠHĠ
Bu yönetmelik bütün BS Denetimlerinde 1 Haziran 2005 tarihinden itibaren geçerlidir. Terimlere ait tam bir sözlükçe
ISACA‘nın web sitesinde (www.isaca.org/glossary) bulunabilir.
152
G31 KiĢisel Bilgilerin Gizliliği
1.
1.1
1.1.1
1.1.2.
1.1.3.
1.2
1.2.1
ARKA PLAN
Standartlara Bağlantı
S1 Denetim Yönetmeliği Standardı: ―Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,
sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde
belgelenmelidir.‖ ġeklinde ifade eder.
S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim
kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini
baĢarmak için gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu
kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.
COBIT Bağlantısı
P08 Yüksek Seviye Kontrol hedefi, dıĢsal gerekliliklere uygunluğu sağlar: ―Yasal, düzenleyici ve sözleĢme
yükümlülüklerini karĢılayan iĢ gereksinimlerini tatmin eden dıĢsal gerekliliklerle uyumu sağlayan BT süreçleri
üzerindeki kontrol, bu dıĢsal gereksinimlerin etkilerinin tanımlanmalı ve analizi ve bunlarla uygunluğun sağlanması
için uygun önlemlerin dikkate alınmasıyla sağlanır.ve aĢağıdaki konular dikkate alınmalıdır‖: Ģeklinde ifade eder.
•
•
•
•
•
•
1.2.2
1.3
1.3.1
1.3.2
Yasalar, tüzükler ve sözleĢmeler
Yasal ve düzenleyici geliĢmelerin izlenmesi
Uyumluluğun düzenli olarak izlenmesi
Güvenlik ve ergonomi
KiĢisel bilgilerin gizliliği
Fikri mülkiyet‖
Ayrıntılı kontrol hedefi PO8.4, KiĢisel bilgilerin gizliliği, fikri mülkiyet ve veri akıĢı: ―Yönetim, kurumun BT uygulamalarına
uygulanacak kiĢisel bilgilerin gizliliği, fikri mülkiyet, sınır ötesi veri akıĢı ve kriptografik düzenlemelerle uygunluğu
sağlamalıdır.‖Ģeklinde ifade eder.
COBIT Göndermesi
Bu rehberde iĢaret edilen alanlar gözden geçirilirken dikkate alınması gereken belirli COBIT süreci ve hedefleri COBIT‘le
iliĢkilendirilir.. Belirli bir denetimin kapsamı uygulanacak en ilgili COBIT materyalinin seçimi, belirli bir COBIT sürecinin ve
COBIT kontrol hedeflerinin ve iliĢkili yönetim uygulamalarının seçimi temeline dayanır. KiĢisel bilgilerin gizliliği konusunda, en
ilgili olması dolayısıyla seçilen ve uyarlanan COBIT süreçleri birincil ve ikincil olarak aĢağıdaki biçimde listelenir. Seçilen ve
uyarlanan süreç ve kontrol hedefleri, görevlendirmenin özel kapsam ve Ģartlarına bağlı olarak değiĢebilir.
Birincil:
•
•
1.3.3
PO8—DıĢsal gerekliliklerle uygumun sağlanması
DS5—Sistemlerin güvenliğinin sağlanması
Ġkincil:
•
•
•
•
•
•
•
•
•
•
PO7—Ġnsan kaynakları yönetimi
DS1—Hizmet seviyelerinin tanımlanması ve yönetilmesi
DS2—Üçüncü kiĢi hizmetlerinin yönetilmesi.
DS10—Sorunların ve vakaların yönetilmesi
DS11—Veri yönetimi
DS13—Faaliyet yönetimi
M1—Sürecin izlenmesi
M2—Ġç kontrol eriĢim yeterliliği
M3—Bağımsız güvence sağlanması
M4—Bağımsız denetimin sağlanması
1.3.4
KiĢisel bilgilerin gizliliğinin gözden geçirmesiyle en iliĢkili bilgi ölçütleri:
• Birincil—Etkinlik, uygunluk, gizlilik ve bütünlük.
• Ġkincil—Güvenilirlik ve eriĢebilirlik.
1.4.1
Bu Rehberin amacı, kiĢisel bilgilerin gizliliği konusunda BS Denetim iĢlevine iĢaret etmek, gizliliğin ve uygunluğunun
değerlendirilmesinde BS Denetçisine yardımcı olmaktır. Bu klavuz, esas olarak BS Denetim iĢlevinde amaçlanmıĢtır; ancak
konular diğer durumlarda dikkate alınabilir.
Bu rehber, BS Denetim Standartlarının uygulanmasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartları
uygularken belirlemelerini kendi uzmanlık ve deneyimi çerçevesinde yapmalı ve bu standartlardan herhangi bir sapma olur
ise bu sapmayı gerekçelendirmeye hazır olmalıdır.
1.4.2
153
G31 KiĢisel Bilgilerin Gizliliği (Devamı)
1.5
Rehber Uygulaması
1.5.1
BS Denetçisi, bu Rehberin uygulanmasında ilgili diğer ISACA standartlarını ve rehberlerini dikkate almalıdır.
1.6
1.6.1
1.6.2
1.6.3
1.6.4
1.6.5
BS Denetimi Bağlamında KiĢisel Bilgilerin Gizliliği Tanımı – Sınırları ve Sorumluluklar
KiĢisel bilgilerin gizliliği, tanımlanmıĢ ya da tanımlanabilir bireyin (veri öznesi) bilgiyle ilgili güven ve yükümlülüğe bağlı
kalmaktır. Yönetim, gizlilik politikası ya da gizliliğin yürürlükteki yasalar ve düzenlemelere uygun Ģekilde kiĢisel bilgilerin
gizliliğinin sağlanmasından sorumludur..
KiĢisel veri, tanımlanmıĢ ya da tanımlanabilir bireyle ilgili her türlü bilgidir.
BS Denetçisi, kiĢisel veritabanlarında depolananlardan sorumlu değildir, denetçi sadece doğru güvenlik önlemleri alınarak
kiĢisel verinin yasal emirlere göre doğru yönetilip yönetilmediğine kontrol etmelidir.
BS Denetçisi, , Güvenli Liman ve OECD KiĢisel Bilgilerin Gizliliğinin Korunması ve Sınır ötesi Veri AkıĢı gibi sınır ötesi
veri akıĢı gereksinimlerini yürürlükteki gizlilik yasaları ve düzenlemelerini doğrulamak için yönetimin kiĢisel bilgilerin gizliliği
politikasını gözden geçirmelidir.. (bakınız referans bölümü).
BS Denetçileri, yönetim tarafından yapılan gizlilik etki analizleri veya değerlendirmelerini gözden geçirmelidir. Bu
değerlendirmeler mutlaka:
•
•
•
ĠĢ süreçleriyle ilgili tanımlanabilir kiĢisel bilgilerin özelliklerini tanımlamalıdır
Tanımlanabilir kiĢisel bilginin toplanması, kullanımı, açıklanması ve yok edilmesini belgelemelidir
Riskleri azaltmak için kiĢisel bilgilerin gizliliği riski ve seçeneklerin uygunluğuna dayanan resmi politikalar, faaliyetler ve
sistem tasarım kararlarını yapmak için yönetimin uygun bir araca sahip olmasını sağlamak
•
•
•
•
1.6.6
KiĢisel bilginin gizliliği bilgilerinin varlığı için hesap verilebilirliğine dair makul güvence sağlanmalıdır
Ġlgili düzenlemelerle teknik ve yasal uyumluluk analiz süreçleri yapılandırmalı ve tutarlı bir süreç yaratmalıdır
KiĢisel bilginin gizliliği uygunluğu için bilgi sisteminin yenileme ve güçlendirmesi azaltılmalıdır
Hazırlanacak bir çerçeveyle, kiĢisel bilginin gizliliği fikrinin doğmasından ve gereksinimlerin analizi aĢamasından son
tasarım onayı, fonlama, uygulama ve iletiĢim aĢamalarına kadar sağlanması
BS Denetçileri, bu değerlendirmelerin bir ilk kiĢisel bilginin gizliliği gözden geçirmesinin parçası ve aĢağıdaki yönetim proje
değiĢikliklerine göre döngüselliğinin olup olmadığını belirlemelidir:
• Teknolojik değiĢiklikler
• Yeni programlar ya da mevcut programlarda büyük değiĢiklikler
•
•
•
•
•
1.6.7
1.6.8
Ek sistem bağlantıları
EriĢilebilirliğin geliĢtirilmesi
ĠĢ süreçlerinin yeniden yapılandırılması
Veri ambarlaması
Yeni ürünler, hizmetler, sistemler, operasyonlar, sağlayıcılar ve iĢ ortakları
Herhangi bir kuruluĢ, özellikle dünyanın değiĢik bölgelerine yayılmıĢ kuruluĢlar tarafından uyulması gereken yürürlükteki
kiĢisel bilginin gizliliği yasa ve düzenlemelerinin değerlendirilmesinde, uyulması gereken yasal düzenlemeler açısından BS
Denetçileri mutlaka bir uzman görüĢüne baĢvurmalı ve bu yasal düzenlemelere uyuluyor olmasına dair fikir ve rapor
hazırlarken gerekli düzenlemeleri tam olarak bilmeli ve sağlamlık testlerini yapmalıdır.
Veri kontrolörü, bu Ģahısça ya da onun adına biri tarafından söz konusu bilginin toplanması, depolanması ya da yayılmasına
bakılmaksızın kiĢisel bilgi içeriği ve kullanımı hakkında karar verme salahiyeti olan taraftır.
2.
DENETĠM YÖNETMELĠĞĠ
2.1
2.1.1
Bağlantılı Dünyada KiĢisel Bilginin Gizliliği
Elektronik posta ve küresel ağ (WWW) gibi iletiĢim teknolojilerinin geliĢmesiyle bilginin küresel ölçekte etkin yayılımı olanaklı
olmuĢtur. Basılı kopya ve elektronik/dijital kiĢisel bilginin korunması ve iletiĢim teknolojilerinin etik kullanımını sağlayacak
kontroller yerinde olmalıdır. Ayrıca, yasaların küresel olarak geçerliğinin sağlanması için kurumlar kiĢisel bilgiyi koruyacak
kontroller uygular. Bu rehber, kiĢisel gizlilik sağlamak için tasarlanmıĢ güvenlik kontrollerinin etkinliğini değerlendirmek için
BS Denetçilerinin uygulayacağı ortak ölçütler setini sunmaktadır.
3.
BAĞIMSIZLIK
3.1
3.1.1
Bilginin Kaynağı
Denetçi, gizlilikle ilgili yerel düzenlemeleri göz önünde bulundurmalı ve bundan sonra kuruluĢun uyarladığı küresel
düzenlemeleri dikkate almalıdır. KuruluĢ uluslararası bir nitelikteyse, yerel düzenlemeler kuruluĢ politikalarına kıyasla
öncelikli ele alınmalı ancak kuruluĢ ikisiyle de uyumlu olmalıdır (örneğin EEUU Ģirketleri için Sarbanes Oxley).
4.
MESLEK ETĠĞĠ VE STANDARTLAR
4.1
4.1.1
Bireysel Verinin Korunma Ġhtiyacı
Ġç ve dıĢ kayıtlar/veri kaynakları arasındaki bağlantıların artmakta olan sayısı ve internet kullanımı, hem kamu kurumlarının
hem de özel kuruluĢların gizlilik ihtiyacını artırmıĢtır. YaĢam, sağlık, ekonomi, cinsel tercih, din, siyasi fikir ve benzeri
konulara dair bilgiler ilgisiz kiĢilerin eline geçerse, bireyler bundan telafi edilemez zararlar görebilirler.
154
G31 KiĢisel Bilgilerin Gizliliği (Devamı)
4.1.2
Pek çok ülkede kiĢisel bilginin gizliliğiyle ilgili yasalar ve düzenlemeler bulunmakla birlikte bunlar genelde tam olarak
bilinmemekte veya bunlara yeterli önem verilmemektedir. Bu nedenle, BS Denetçisi, kiĢisel bilginin gizliliği konularına dair
temel bilgilere sahip olmalı ve gerektiğinde kuruluĢtaki kiĢisel bilginin korunma seviyesini değerlendirebilmek için farklı
ülkelerdeki temel farklılıkların farkında olmalıdır.
5.
YETERLĠLĠK
5.1
5.1.1
KiĢisel Veri Korunmasına Dair YaklaĢımlar
KiĢisel bilginin uygunluğu, bütünlüğü ve gizliliğinin güven altına alınması amacıyla dijital ya da basılı kopya biçimindeki kiĢisel
bilgiye uygulanacak kurallara ve gereksinimler olmalıdır. Her kurum, her türdeki ve biçimdeki kiĢisel bilgiye korumak için bir
yaklaĢımı olmalı ve aĢağıdakileri göz önünde bulundurulmalıdır:
• Gizlilik yönetimi—Yönetim kurulu baĢkanı ya da kuruluĢun baĢındaki kiĢi, kiĢisel bilginin gizliliğiyle ilgili olarak birinci
dereceden sorumlu olmalıdır. KiĢisel bilginin kullanımıyla ilgili amaçlar ve en üst rehberler güvenlik politika, amaçları ve
stratejisinde tanımlanmalıdır. KiĢisel bilginin kullanılmasının kurum gereksinimleri ve kamusal kural ve düzenlemelerine
uygun olduğuna dair makul bir güvence sağlayan belli sıklıktaki değerlendirmeler için kurumsal yöntemler
biçimlendirilmelidir. Değerlendirme sonuçları, belgelendirilmeli ve güvenlik politika ve stratejisinde muhtemel değiĢiklikler
dayanak oluĢturmada kullanılmalıdır.
• Risk değerlendirmesi—Kurum, kullanımdaki değiĢik kiĢisel bilgiler üzerine genel bir bakıĢ sahibi olmalıdır. Kurum,
ayrıca kiĢisel bilgiye karĢı davranıĢlarla bağlantılı kabul edilebilir risk ölçütlerini de belirlemek zorundadır. KiĢisel bilginin
sorumluluğu ―VERĠ KONTROLÖRÜ‖ne verilmelidir Veri kontrolörü, güvenlik vakalarının sonuçlarını ve gerçekleĢme
olasılıklarını tanımlayan risk değerlendirmelerini yapmaktan sorumludur. Bilgi güvenliğine dair önemli değiĢiklikler
olduğunda yeni risk değerlendirmeleri yapılmalıdır. Risk değerlendirmesi sonuçları belgelenmelidir.
• Güvenlik denetimi—Bilgi sistemlerinin kullanımıyla ilgili güvenlik denetimi düzenli aralıklarla yapılmalıdır. Güvenlik
denetimleri kurumu, güvenlik çabalarını ve iĢbirliği yapılan ortakları ve sağlayıcıları kapsamalıdır. Sonuçları,
raporlanmalıdır.
• Sapma—Kurumsal yöntemlere uygun olmayan ve güvenlik ihlâli olabilecek herhangi bir bilgi sistemi kullanımına, sapma
olarak değerlendirilmelidir. Sapma yaklaĢımının amacı, normal koĢulları yeniden oluĢturmak, sapmaya yol açan nedeni
ortadan kaldırmak ve tekrar etmesini engellemektir. Eğer sapma gizli bilginin yetkisiz açıklanmasına yol açmıĢsa, yetkili
yerel mercilerin bilgilendirilmesi gereği doğabilir. Sonuçları, belgelenmelidir.
• Kurum—Bilgi sistemlerinin, kullanım sorumluluğu oluĢturulmalı ve yazılı Ģekilde belgelenmelidir. Bu sorumluluk, uygun
idari yetki verilmeksizin bu değiĢtirilemez olmalıdır. Bilgi sistemleri, bilgi güvenliğini tatminkâr seviyede sağlayacak
biçimde yapılandırılmalıdır. Konfigürasyon, belgelenmeli ve sadece uygun idari yetki çerçevesinde değiĢtirilebilir
olmalıdır.
• Atama: ÇalıĢanlar kiĢisel bilgileri görevlerine göre kullanmalı ve gerekli yetkiye sahip olmalıdırlar. Ayrıca, çalıĢanlar,
kiĢisel bilgiyi kurumsal yöntemlere uygun biçimde kullanabilecek bilgiye sahip olmalıdırlar. Bilgi sistemlerinin yetkili
kullanımı, kayıt altına alınmalıdır..
• Mesleki gizlilik—Personel, resmi bir anlaĢma imza ederek gizliliğin gerekli olduğu noktalarda kiĢisel bilgiyi
açıklamayacağını kabul etmelidir. Mesleki gizlilik aynı zamanda bilgi güvenliği açısından önemli bilginin gizliliğini de
kapsamalıdır.
• Fiziki güvenlik—KiĢisel bilginin iĢlendiği teknik donanıma yetkisiz eriĢimi engelleyecek önlemeleri almak da kurumun
sorumluluğundadır. Bu güvenlik önlemleri bilgi güvenliği açısından önemli sayılan diğer teknik donanımı da içermelidir.
Donanım, kiĢisel bilgiye bir tehdit oluĢturmayacak biçimde kurulmalıdır.
• Gizlilik—Kurum, gizliliğin gerekli olduğu yerlerde kiĢisel bilgiye yetkisiz eriĢimi engellemek için önlem almalıdır. Güvenlik
önlemleri ayrıca bilgi güvenliği açısından önemli diğer bilgilere yetkisiz eriĢimi de engellemelidir. DıĢarıdaki ortaklara
elektronik olarak aktarılacak gizli kiĢisel bilgi mutlaka kriptolanmalı veya bir baĢka yolla güvenlik altına alınmalıdır. Gizli
kiĢisel bilgi taĢıyan depolanmıĢ veri uygun biçimde iĢaretlenmelidir.
• Bütünlük—KiĢisel bilginin yetkisiz değiĢtirilmesine karĢı bütünlüğün makul güvencesini sağlayan önlemler alınmalıdır.
Güvenlik önlemleri, ayrıca bilgi güvenliği açısından önemli diğer bilgilere yetkisiz eriĢimi de engellemelidir. Ayrıca, zararlı
yazılımlara karĢı da önlemler alınmalıdır.
• EriĢebilirlik—KiĢisel bilgiye eriĢmenin, makul güvencesini sağlamak için önlemler alınmalıdır. Güvenlik önlemleri, ayrıca
bilgi güvenliği açısından önemli diğer bilgileri de kapsamalıdır. Normal iĢletim süreçlerinde yaĢanacak kesintiler sırasında
bilgiye eriĢimi makul seviyede güvence altına alacak yedekleme ve geriye döndürme yöntemleri oluĢturulmalıdır. Uygun
yedekleme yöntemleri, oluĢturulmalıdır.
155
G31 KiĢisel Bilgilerin Gizliliği (Devamı)
•
Güvenlik önlemleri—Güvenlik önlemleri, bilgi sistemlerinin yetkisiz kullanımını ve yetkisiz eriĢim giriĢimlerini önlemek
için yerinde oluĢturulmalıdır.. Bütün yetkisiz eriĢim teĢebbüsleri, sistem kayıtları oluĢturulmalıdır.
•
Güvenlik önlemlerinin kapsamı personel tarafından etkilenmemeli ve atlatılamamalı, ayrıca kiĢilere karĢı alınacak yasal
önlemleri kısıtlamamalıdır. Güvenlik önlemleri belgelenmelidir.
DıĢ ortaklara yönelik güvenlik—Veri kontrolörü, dıĢ ortaklara ve satıcılara karĢı sorumlulukları ve yetkileri
açıklaĢtırmaktan sorumludur. Sorumluluklar ve yetkiler, yazılı Ģekilde belgelendirilmelidir. Veri kontrolörü, ortakların ve
satıcıların güvenlik stratejileri hakkında doğru bilgiye sahip olmalı ve stratejinin yeterli güvenlik seviyesini sağladığını
düzenli olarak kontrol etmelidir.
Belgeleme—Bilgi sistemi ve bilgi güvenliğiyle ilintili diğer bilginin kullanım yöntemleri belgelenmelidir. Belgeler, ulusal
yasa ve düzenlemelere uygun Ģekilde muhafaza edilmelidir. Bilgi sistemi vaka kayıtları, en azından üç ay boyunca
saklanmalıdır. Politika, standartlar ve usuller kiĢisel bilginin onaylı kullanımını belirtecek Ģekilde kullanılmalıdır.
•
•
•
6.
6.1
6.1.1
6.1.2
Farkındalık ve eğitim oturumları—Bunun amacı, çalıĢanlar ve sağlayıcılar, özellikle müĢterilerin kiĢisel bilgilerini elinde
tutanlara (örneğin müĢteri hizmetleri) gizlilik politikası hakkında bildirimde bulunmak, onların bu politikaların farkında
olmasını sağlamaktır.
PLANLAMA
Farklı Ülkelerin KiĢisel Bilginin Gizliliği Yasalarının Ġlkelerine ve BaĢlıca Farklılıklarına Genel BakıĢ
Çoğu ülkeler, kendi gizlilik düzenlemelerini yapmıĢtır. Temel ilkeler genelde aynıdır, ancak kiĢisel verinin tanımı, uygulanacak
temel güvenlik önlemleri ve benzer açılardan farklılıklar vardır. Bu farklılıklar, BS Denetçisinin rolünü etkileyebilir, özellikle
görev birden fazla ülkenin varlığını içeriyorsa ve/veya farklı alanlarda muhafaza yapılıyorsa bu sonuç doğabilir.
Tablo 1 Ekonomik ĠĢbirliği ve Kalkınma Örgütü (OECD) tarafından 1980 yılında basılan ve 2002 yılında gözden geçirilen
―KiĢisel Bilginin Sınır Ötesi AkıĢı ve Gizliliğinin Korunmasına Dair OECD Rehberleri‖ kapsamındaki genel ilkleri listeler.
Tablo 1 – GENEL ĠLKELER
No
ĠLKE
AÇIKLAMA
1
Toplama sınırları
KiĢisel verinin toplanması, veri sahibinin bilgisi ve açık rızası olması durumunda olanaklıdır.
2
Veri kalitesi
KiĢisel verinin ilgili kullanım amaçları ve bu amaçlar için ne kadar gerektiği açıkça belirli, tam ve güncel olmalıdır.
3
Amaç özellikleri
KiĢisel veri toplama amacı, veri toplandıktan sonra değil toplanırken açıklanmalı ve bu verinin kullanımı bu amaç ya da bu
amaçla uyuĢmazlık içermeyen diğer amaçlar doğrultusunda kısıtlı olmalı ve amacın değiĢmesi durumu açıkça
belirtilmelidir.
4
Kullanım kısıtları
KiĢisel veri açıklanamaz, kullanılır hale getirilemez ya da yukarıda belirtilen amaçlar dıĢında (veri sahibinin açık izni veya
yasal bir zorunluluk olmadığı sürece) kullanılamaz.
5
Güvenlik önlemleri
KiĢisel bilgi, makul güvenlik önlemleri alınarak veri kaybolma, yetkisiz eriĢim, yok etme, kullanma, değiĢtirme ve
açıklanma gibi risklere karĢı korunmalıdır.
6
Açıklık
KiĢisel bilgiyle ilgili politikalarda, uygulamalarda ve geliĢmelerde genel bir açıklık politikası uygulanmalıdır. KiĢisel bilginin
özellikleri ve varlığını oluĢturmak için kullanılabilir araçlar olmalı ve bu araçların temel kullanım amaçları ile veri
kontrolörünün kimlik ve ikametgahı belirli olmalıdır.
7
Bireysel katılım 1
Herhangi bir birey veri kontrolöründen, kendisine dair bir bilginin olup olmadığının doğrulamasını alma hakkına sahiptir.
8
Bireysel katılım 2
KiĢi, kendisi hakkındaki bilgiyle ilgili olarak aĢağıdaki koĢullarda kendisine bildirimde bulunulması hakkına sahiptir:

Makul bir zaman içinde

Makul, eğer varsa, bir maliyetle

Makul bir yolla

Kendisi tarafından anlaĢılır biçimde
9
Bireysel katılım 3
Örneğin 7 ve 8‗de yer alan ilkelerden birisi gibi makul talepleri olan bireylerin bu talepleri reddedilirse nedeni belirtilmeli ve
bu nedene itiraz edilebilmesi olanaklı olmalıdır.
10
Bireysel katılım 4
Her birey, kendisi ile ilgili veriye itiraz hakkına sahiptir ve eğer itiraz haklıysa veri silinir, değiĢtirilir, tamamlanır ya da
ayarlanır.
11
Bireysel katılım 5
Bireyin kendi bilgilerinin kullanılması ya da depolanmasıyla ilgili fikirleri değiĢtiğinde, ilgili Ģirketle iletiĢim kurmasını
sağlayacak usuller oluĢturulmalı ve bu değiĢiklik bu verinin kullanıldığı bütün sistemlere ve düzlemlere yansıtılmalıdır.
12
Veri kontrolörünün
sorumluluğu
Veri kontrolörü, yukarıda ifade edilen ilkelerin etkierinin ölçümünün uyumlaĢtırılmasından sorumludur.
156
G31 KiĢisel Bilgilerin Gizliliği
Yukarıda belirtilen ilkeler temelinde, Tablo 2‘deki kontrol listesi değiĢik ülkelerin konuya dair düzenlemelerini kıyaslamayı
olanaklı kılmakta ve bu ilkelerin nasıl uygulandığını kabaca göstermektedir. Tablodaki ―REF‖ kısmı Tablo 1‘de açıklanan
ilkelerle, iliĢkilendirmeleri ifade etmektedir.
6.1.3
Tablo 2 – KONTROL LĠSTESĠ
No
REF.
Sorular
1
1
KiĢisel verinin her türlü iĢlenmesi için ona ait verinin toplanması bireyin açık rızasını almadan ya da, yasaların açık bir biçimde
bunun yapılmasını öngörmesi durumu da dahil olmak üzere kiĢi ile bir sözleĢme yapmadan OLANAKLI MIDIR? Kamu güvenliği
veya ulusal güvenlik konuları dıĢında, yasal yetkili ve veri toplayıcı dıĢındaki yetkilinin yapması gerekenler.
2
1
KiĢisel veriye ulaĢması/kullanması gereken üçüncü taraflar için de kiĢisel verinin toplanmasına/iĢlenmesine dair açık rıza alınmalı
mıdır (örneğin dıĢ kaynaklılık) ve asıl muhataba verilenin dıĢında bir yazılı izin üçüncü taraf için de gerekli midir (diğer bir deyiĢle,
veri sahibinin açık ve net yetkilendirmesi olmadan veri kontrolörü üçüncü kiĢilere eriĢim vermemesi)?
3
2
Veri kontrolörleri, düzenli olarak veri doğruluğunu doğrulamak, güncellemek, ilgisiz/gereksiz/tarihi geçmiĢ (süreç amacına göre)
bilgiyi silmek zorunda mıdır?
4
3
Veri kontrolörleri veri toplama kapsamını veri sahibine iletmek zorunda mıdırlar?
5
3
Veri kontrolörleri toplanan veriyi kullanacak olanları veri toplanırken veri öznesine bildirmek ve kullanımı bunlarla sınırlamak
zorunda mıdır?
6
3
Toplanan verinin kullanım amacı/ süreci konusunda yapılacak bir değiĢiklik için veri kontrolörü veri sahip(leri)i ile iletiĢim kurmak
ve onay almak zorunda mıdır?
7
4
Veri öznesi veya özneleri tarafından açıkça açıklanma veya kullanılma izni verilmemiĢ yasaklı bilginin kullanılmasını önleyen
kısıtlamalar var mıdır?
8
5
Verinin yetkisiz açıklanması/kullanılmasını önlemek için veri kontrolörünün istemesi gereken asgari güvenlik önlemleri gerekliliği
var mıdır?
9
5
Veri kontrolörü, bir güvenlik planı hazırlamak ve bunu düzenli olarak güncellemek zorunda mıdır?
10
5
Veri kontrolörü düzenli olarak risk değerlendirmesi yapmak zorunda mıdır?
11
5
Veri kontrolörünün Ģirketinde çalıĢan herhangi bir bireyin veri öznesinin herhangi bir bilgisine eriĢimi için özgün bir Ģeffaflık ve
tanımlılık gerekliliği var mıdır?
12
6
Bir Ģahıs ya da kurum olarak toplanan/iĢlenen verinin doğası gereği veri kontrolörünün kimliğini bildirilir mi?
13
6
KiĢisel bilginin korunması için yapılması gerekenlere dair personele yönelik farkındalık programları ya da eğitim var mıdır?
14
7
Veri sahibi, bilginin varlığına veya özelliklerine dair bilgiyi veri kontrolöründen alabilir mi?
15
7
Veri sahibi, kendine ait bilgiyi veriyi veri kontrolöründen alabilir mi ve bunu doğrulayabilir mi?
16
8
15 ve 16. Soruların yanıtlanması için belirlenmiĢ en uzun süreler var mıdır? Evet, bilgi makul bir zaman dilimi içinde ve anlaĢılır bir
biçimde sağlanmalıdır.
17
9
Veri sahibi, kendine ait veri/iĢlem olup olmadığını öğrenmek için veri kontrolörüyle iletiĢim kurmak istediğinde reddedilebilir mi?
18
10
Veri sahibi, kendine ait veriyi veri kontrolörüne sildirtebilir mi? Evet
19
11
Veri sahibi, daha önceden izin vermiĢ olsa bile istediği zaman bu rızasını geri çekebilir mi?
20
12
Yukarıdaki ilkeler uymayan veri kontrolörlerine uygulanacak yaptırımlar var mıdır?
21
12
Yukarıdaki ilkeler uyduğunu doğrulamak için görevli veri kontrolörlerine kurumlar sahip midir?
7.
DENETĠM ĠġĠ PERFORMANSI
7.1
7.1.1
Kurumun KiĢisel Bilginin Gizliliği Uygulamaları ve Süreçlerinin Gözden Geçirilmesi
BS Denetçisi, denetim planlama sürecini iyice anlamıĢ olmalıdır. Bir denetim programı, denetimin kapsamı, amacı ve
zamanlaması içerecek Ģekilde geliĢtirilmelidir. Denetim programında, rapor düzenlenmesi açıkça yer almalıdır.
Kurumun özellikleri ve büyüklüğü, ayrıca paydaĢlar dikkate alınmalıdır. Sınır ötesi iliĢkilerin (hem ülke içinde hem dıĢında)
bilgisine sahip olmak önemlidir ve denetimin kapsam ve zamanının belirlenmesine yardımcı olur.
7.1.2
157
G31 KiĢisel Bilgilerin Gizliliği (Devamı)
7.1.3
BS Denetçisi, kurumun görev ve iĢ amaçlarını, kurum tarafından toplanan ve kullanılan verinin türünü, gizlilik gereksinimlerini
de içerebilecek, kurumu bağlayıcı yasama çıktılarını iyice anlamıĢ olmalıdır. Ayrıca, bilgi yöneticilerini ve sahiplerini de
içerebilecek olan önemli konumdaki personelin rol ve sorumluluklarını da belirleyen kurumsal yapının iyi bilinmesi de
gerekmektedir.
7.1.4
Denetim planlama aĢamasının temel amacı, gizlilikle ilgili yasalara ve düzenlemelere uyulmaması durumunda kurumun
karĢılaĢacağı riskleri iyi anlayabilmektir.
7.2
GerçekleĢtirilecek Adımlar
7.2.1
BS Denetçisi, ön gizlilik değerlendirmesi yaparak, ilgili gizlilik düzenlemelerine uyum sağlanmadıysa bunun kuruma olan
etkilerini belirlemeye çalıĢır. Bu aynı zamanda gözden geçirmenin kapsamının tanımlanmasına yardım eder ve toplanan,
depolanan ve kurum içinde değiĢik amaçlarla kullanılan bilginin türü göz önünde bulundurulmalıdır.
7.2.2
BS Denetçisi, aĢağıdakilerin kurum tarafından sağlanıp sağlanmadığını belirlemelidir:
• Gizlilik politikası
• Gizlilik Memuru
•
•
•
•
•
7.2.3
Veri kontrolörü
KiĢisel bilginin gizliliği bağlamında eğitim ve farkındalık planı
KiĢisel bilginin gizliliği Ģikayet yönetimi süreci
KiĢisel bilginin gizliliği yasaları gereği olarak yürütülen gizlilik denetimleri rejimi
DıĢ kaynaklar ve taĢeronlar için kiĢisel bilginin gizliliği gereksinimleri
Eğer, bunlar mümkün ise, ilgili kiĢisel bilginin gizliliği düzenlemeleriyle paralelliğin sağlanmasıyla ilgili olarak BS Denetçisi
tarafından değerlendirilmelidir.
BS Denetçisi, kiĢisel bilginin gizliliği etki analizini yapmalıdır. AĢağıdakileri kapsamalıdır:
•
•
•
•
7.2.4
7.2.5
7.2.6
7.2.7
7.2.8
8.
8.1
8.1.1
8.1.2
8.2
8.2.1
8.2.2
8.3
8.3.1
8.4
8.4.1
8.4.2
8.4.3
8.4.4
8.4.5
8.4.6
8.5
8.5.1
8.6
8.6.1
Gizlilik düzenlemelerine uygun davranmamanın risklerinin tanımlanması, çözümlenmesi ve öncelik verilmesi
Kurumda uygulanmakta olan çeĢitli gizlilik önlemlerinin anlaĢılması
Zayıflıkların ve güçlü yanların değerlendirilmesi
GeliĢtirme stratejileri önerileri
Gizlilik gözden geçirmesinin sonuçlarını içeren bir rapor, BS Denetçisince yazılmalıdır. Rapor, amaç ve kapsam çerçevesini
çizmeli, kurum tarafından toplanan, depolanan ve kullanılan bilginin ve verinin türüne dair bir özet sağlamalıdır.
Rapor kurumun gizlilikle ilgili karĢılaĢabileceği risklere dair bilgiyi da içermeli ve var olan risk azaltma önlemleri ya da kiĢisel
bilgiyi koruma stratejileri özeti içermelidir.
Gizlilik gözden geçirmesinde tanımlanan yetersiz önlemlerden ya da risk azaltma önlemlerinin yokluğundan kaynaklanabilen
zayıflıklar bilgi sahiplerinin ve gizlilik politikasının sorumlu yönetiminin dikkatine sunulmalıdır.
Gizlilik gözden geçirmesi süresince tanımlanan zayıflıklar, kayda değer ve önemli sayılmalı, uygun yönetim seviyesine ivedi
olarak düzeltici eylemlerin uygulanması önerilmelidir.
BS Denetçisi, uygun önerileri raporunda içererek kurumun gizlilik kontrollerini güçlendirme fırsatı sağlamalıdır.
RAPORLAMA
Güvenlik Önlemleri Doğrulama Düzenlemeleri
Yerel gizlilik düzenlemeleri, kiĢisel verinin uygun bir biçimde yetkisiz eriĢim, uygunsuz açıklanması, değiĢtirilmesi ve/veya
kaybolması risklerine karĢı düzenli Ģekilde korunmasının sağlanmak için yerinde güvenlik önlemlerinin alınmasını
gerektirebilir.
AĢağıdaki liste, yerel güvenlik gereksinimlerinin sağlanmasını güvence altına almaya yardım edecek anahtar kontrollerdir.
Yerel yasa ya da düzenlemelerin ek önlemler gerektirebileceğini unutmayınız. BS Denetçisi, denetime baĢlamadan önce bu
tablonun uygulanabilirliğini ve tamlığını, Tablo 2, bölüm 6.1.3‘de belirtildiği gibi, kontrol etmelidir.
Araçların Yeniden Kullanımı
KiĢisel veri içeren belge ve ortamların sorumluluğunu taĢıyan personelin gerekli dikkatle davranmasını makul bir güvence
altına alacak resmi yollar oluĢturulmalı ve doğrulanmalıdır.
Daha önce kiĢisel bilgi içeren bir araç (örneğin elektronik/dijital ya da kâğıt) yeniden kullanılmadan önce, eski bilgilerin
tamamının silindiğinin makul güvencesini sağlamak zorunlu olmalıdır. Bazen, veri hassaslığına ya da ortam özelliklerine bağlı
olarak aracın kendisini yok etmek gereklidir..
Eğitim
Güvenlik eğitimi, kiĢisel veri ile ilgilenen bütün personel için mutlaka düzenli olarak uygulanmalıdır.
EriĢim Kontrolü
Genel bir ilke olarak, ―BĠLMESĠ GEREKEN‖ felsefesi uygulanmalıdır (örneğin, her kiĢi sadece kendi iĢini yapması için gerekli
ve yeterli olan dosyalara eriĢim olanağına sahip olmalıdır).
EriĢim ayrıcalıkları ve kullanıcı kimlikleri, bu politikalara göre atanmalıdır.
Bir çalıĢan ayrıldığında veya baĢka bir bölüme ya da göreve atandığında, kullanıcı kimliğinin güncellenmesi ya da silinmesini
düzenleyen yazılı usuller olmalı ve doğrulanmalıdır.
KiĢisel bilgisayarların kullanılmasıyla ilgili uygun yönlendirmeler sağlanmalı ve doğrulanmalıdır. Düzenli veri yedeklemesi
yapılması ihtiyacını, düzenli veri yedekleme gerçekleĢtirme ihtiyacı, iĢ istasyonlarına sürekli açık bırakılmaması gibi veri
güvenliği ile ilgili her konuyu kapsamalıdır.
Güvenlik duvarı gibi güvenlik araçlarının kullanılmasıyla iç ağ yeterli seviyesi de korunmalıdır.
Tanımlanan sınırlı zaman dilimleri içerisinde, kiĢisel veri arĢivlerini yeniden yapılandırmak için acil durum planlarının varlığı
doğrulanmalıdır.
Bakım ve Destek
Her bakım ve destek eriĢimi, sistemde kayıt edilmeli ve izlenmelidir.
Veri Bütünlüğü
Her iĢ istasyonuna virüs korunma yazılımlarıyla makul bir güvence sağlaması ve seçilen bir virüs korunma yazılım Ģirketi
aboneliği ile bunun düzenli güncellenmesi sağlanmalıdır.
158
G31 KiĢisel Bilgilerin Gizliliği (Devamı)
8.6.2
8.6.3
ĠĢletim sistemi ve kullanılan her yazılım sağlayıcısı, yama/güncelleme açısından düzenli olarak kontrol edilmelidir.
Veri yedeklemesi, sunucularda, ana bilgisayarlarda ve kişisel bilgisayarlarda düzenli ve planlı olarak uygulanmalıdır.
8.7
8.7.1
Tesislere EriĢim Kontrolü
Kurum tesislerine giriĢ yapan herkes kayıt altına alınmalıdır. ÇalıĢma saatleri dıĢında tesislere gelen çalıĢanlar, kayıt altına
alınmalıdır.
8.8
8.8.1
Risk Analizleri
KiĢisel veri risklerini tanımlayan ve muhtemel açıkları kapsayan bir risk analizi düzenli aralıklarla yapılmalıdır.
9.
9.1
YÜRÜRLÜK TARĠHĠ
Bu rehber 1 Haziran 2005 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinin www.isaca.org/glossary adresinde bulunabilir.
EK
Kaynaklar
―AICPA/CICA Privacy Framework,‖ American Institute of Certified Public Accountants (AICPA) and Canadian Institute of Certified
Accountants (CICA), 2003
―Privacy : Assessing the Risk,‖ The Institute of Internal Auditors (IIA) Research Foundation, April 2003
―OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,‖ Organisation for Economic Co-operation and
Development (OECD), 1980, 2002
―Guidelines for the Regulation of Computerized Personal Data Files,‖ Office of the United Nations High Commissioner for Human
Rights, 1990
―The International E-commerce Standard for Security, Privacy and Service (Business to Business),‖ International Standards
Accreditation Board (ISAB), IES: 2000 (B2B), 2000
―The International E-commerce Standard for Security, Privacy and Service (Business to Consumer),‖ International Standards
Accreditation Board (ISAB), IES: 2000 (B2C), 2000
―Safe Harbor Privacy Principles,‖ US Department of Commerce, USA, 21 July 2000
―US Department of Commerce Safe Harbor,‖ US Department of Commerce, USA, www.export.gov/safeharbor
159
G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi
1.
ARKA PLAN
1.1
Standartlarla Bağlantı
1.1.1.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim süreci boyunca BS Denetçisi, denetim hedeflerini baĢarmak için
gereken yeterli, güvenli ve ilgili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar, bu kanıtların uygun analizi ve
yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.
1.2
1.2.1
COBIT Bağlantısı
DS4 Hizmet Sürekliliğinin sağlanması, yüksek seviye kontrol hedefi ―Daimi hizmeti sağlayan BT süreci üzerindeki
kontrol, BT hizmetlerinin kullanılabilirliğini gerektiği gibi sağlayarak iĢ gereklerini karĢılar ve büyük bir kesinti
durumunda iĢin bundan en az etkilenmesini sağlar.‖ Ģeklinde ifade eder.
1.3
1.3.1
COBIT Referansı
Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, COBIT BS süreçlerinin seçimine ve COBIT
kontrol amaçlarının göz önünde bulundurulması ve iliĢkili yönetim uygulamaları temeline dayanır. BT bakıĢıyla BCP gözden
geçirmesinde, en uygun COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol
hedefleri ve süreçler belirlenmiĢ kapsama ve ilgili görev koĢullarına göre değiĢebilir.
Birincil:
1.3.2
•
•
•
•
•
•
•
•
1.3.3
PO9—Risk değerlendirmesi
AI6—DeğiĢiklik yönetimi
DS1—Hizmet seviyelerinin tanımlanması ve yönetilmesi
DS4—Hizmet sürekliliğinin sağlanması
DS10—Sorun ve vakaların yönetimi
DS11—Veri yönetimi
DS12—Tesislerin yönetimi
DS13—Operasyonların yönetimi
Ġkincil:
• PO4—BT yapısını ve iliĢkilerini tanımlama
• PO8—DıĢ gerekliliklere uyumun sağlanması
•
•
•
•
•
•
1.3.4
1.4
1.4.1
1.4.2
1.4.3
1.4.4
1.4.5
1.5
1.5.1
1.5.2
PO7—Ġnsan kaynakları yönetimi
AI5—Sistemlerin kurulumu ve akreditasyonu
DS2—Üçüncü taraf hizmetlerinin yönetimi
DS5—Sistemlerin güvenliğinin sağlanması
DS9—Konfigürasyon yönetimi
M1—Süreçlerin izlenmesi
BCP gözden geçirmesiyle en ilgili bilgi ölçütleri:
• Birincil—Etkinlik, verimlilik, eriĢebilirlik ve uygunluk
• Ġkincil—Gizlilik, bütünlük ve güvenirlik
Rehberin Amacı
Günümüzün karĢılıklı bağımlı ekonomilerinde kurumlar, teknik aksaklıklar dolayısıyla iĢ yıkımı yaĢamaya karĢı her
zamankinden daha açıktırlar. Virüslerden ve siber teröristlerden kaynaklanabilecek bir yıkım, iĢ açısından gerekli olan bilginin
eriĢilebilirliğini, bütünlüğünü ve gizliliğini etkileyebilir.
BCP‘nin temel amacı, kurum operasyonlarının ve/veya bilgi sistem hizmetlerinin tamamen ya da kısmen kullanılmaz hale
gelmesiyle ortaya çıkacak riskleri yönetmek ve bu durumun etkilerinin üstesinden gelerek eski duruma dönmeye yardımcı
olmaktır.
Bu Rehberin amacı, BT bakıĢıyla iĢ süreklilik planı (BCP) gözden geçirmesinde yapılması önerilenleri tanımlamaktır.
Rehberin diğer bir amacı, hem birincil hem ikincil kontrol hedeflerinin kurum içinde uygulandığı gibi BT bakıĢ açısından
kontrolleri ve BCP iĢlemleriyle ilgili riskleri tanımlamak, belgelemek, test etmek ve değerlendirmektir.
Bu rehber, BT bakıĢıyla iĢ süreklilik planının gözden geçirmesinde faydalı, ilgili, güvenilir ve yeterli denetim kanıtı edinimi için
BS Denetim Standardı S6 Denetim Performansı uygulamasına yol göstericidir. BS Denetçisi, yukarıdaki standartların
uygulanmasının nasıl baĢarılacağını göz önünde bulundurmalı ve uygulamalarda mesleki yargısını kullanmalı ve
standartlardan herhangi bir sapmayı gerekçelendirmeye hazır olmalıdır.
Rehber Uygulaması
Bu rehber, BT bakıĢıyla bir kurumda BCP gözden geçirmesi yapılırken kullanılır.
Bu rehber kullanılırken, BS Denetçisi ilgili diğer ISACA standartlarını ve Rehberlerini dikkate almalıdır.
160
G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirmesi(Devamı)
1.6
Teknik terimler
1.6.1
Kısaltmalar:
• ĠĢ Süreklilik Planı (BCP)
• ĠĢ Etki Analizi (BIA)
• Felaket Kurtarma Planı (DRP)
1.6.2
ĠĢ süreklilik planı ile kastedilen, ileri seviyede düzenlemeler ve usuller geliĢtirerek kurumun kesintilerde, kritik iĢlevlerinin
kesintiler yaĢandığında veya temel değiĢiklikler yapıldığında bile belirlenen seviyelerde devam edebilmesini sağlayan plandır.
BCP daha basit bir anlatımla, , mümkün ise engelleyici bir yöntem belirlemek ve bir çökme durumunu yönetme, çökmenin
sonuçlarının etkisini iĢin kaldırabileceği seviyeye çekme amacıyla kullanılan bir planlamadır.
1.6.3
BCP terim,i iĢ süreklilik planının bütün süreçlerine iĢaret eder; diğerleri yanında bu plan kapsamında teknolojik, düzenleyici,
iĢe ve insana dair yanlar vardır.
1.6.4
BCP, rol ve sorumlulukları tanımlar ve yüksek eriĢebilirlik seviyesini güvence altına alma ve ĠĢ Etki Analizine dayalı sistem
güvenirliği gereksinimini karĢılamak için kritik bilgi teknolojileri, iĢletim sistemleri, ağlar, personel, tesisler, veri dosyaları,
donanım ve zaman çerçevelerini tanımlar. BCP, bir çökme öncesinde, sırasında ve sonrasında yapılması gereken, birbiriyle
tutarlı hareketler bütünüdür. Ġdeal olarak BCP, bir çökme sırasında dahi iĢlerin sürmesini sağlar ve yıkıcı bir kesinti
durumunda dahi kritik bilgi sisteminin varlığını sürdürmesini sağlar.
1.6.5
BIA, kritik iĢ iĢlevlerini ve iĢ akıĢını tanımlamayı, yıkımın nicel ve nitel etkilerinin ve öncelikli iyileĢtirme zaman amaçlarının
(RTO) belirlenmesini içerir.
1.6.6
DRP, BCP‘nin bir anahtar unsuru olarak, BCP‘nin teknolojik yanına iĢaret eder – ileri planlama ve kayıpları en aza indirecek
hazırlıkların yapılması ve felaket durumunda kritik iĢ iĢlevlerinin sürekliliğini sağlar. DRP felaket öncesi, esnası ve sonrası için
tutarlı hareketleri içerir. DRP yapısı, kuruluĢun bütün iĢ süreçlerini kapsayan tam planlama süreçlerinden yapılandırılmıĢtır.
Felaket kurtarma stratejileri, farklı yerlerin (sıcak, ılık, soğuk siteler) kullanımını, kullanılmayan veri merkezleri, karĢılıklı
anlaĢmalar, telekomünikasyon bağlantıları, felaket sigortası, ĠĢ Etki Analizleri ve yasal sorumlulukları içerir.
2.
BT AÇISINDAN BCP‘YE GENEL BAKIġI
2.1
2.1.1
BT BakıĢından BCP Unsurları
BCP BT unsurları, iĢ süreçlerinin desteklenmesinde kritik öneme sahip BT operasyonlarının, usullerin yeniden
bütünleĢtirilmesinin, uygulamaların, iĢletimlerin, veri depolamanın, ağların ve tesislerin eriĢilebilirliğini güvence altına alan
müdahale ve kurtarma süreçlerini tanımlar.
BCP unsurları arasında Ģunlar yer alır:
• Tanımlama—Muhtemel iĢ tehdit ve risklerini tanımlamak.
2.1.2
•
•
•
•
2.2
2.2.1
2.2.2
Önleme—Vaka ihtimalini sıfırlamak ya da en aza indirmek.
Tespit—Kurumun acil durum yaĢadığını gösteren koĢulları tanımlamak.
Bildirim—Acil durum ilan edilecek koĢulları tanımlamak ve bu ilanı yapacak kiĢi(leri)yi tanımlamak.
Tırmanma—Aciliyetin tırmanma koĢullarının belirlenmesi ve acil durum sırasında kiĢi(leri)yi ve tırmanma sırasını
tanımlamak.
• Sınırlandırmak—Vakanın müĢteriler, tedarikçiler, hizmet sağlayıcılar, paydaĢlar, çalıĢanlar, varlıklar, kamu ve iĢ
süreçlerindeki etkisini en aza indirmek ya da sınırlamak için gerekli faaliyet listesinin acil Ģekilde tanımlanması.
• Uygulama—Acil durum ilanı için izlenecek faaliyetlerin tam listesinin belirlenmesi (Tesis dıĢında sürecin yapılması,
yedekleme iyileĢtirmesi, tesis dıĢı ortam ve rehberler, çalıĢanların nakli ve dağıtımı ve tedarikçi sözleĢmeleri gibi).
• ĠyileĢtirme—ĠyileĢtirme, ileri seviyede yapılan planlama ve hazırlıkla, bir felaket durumunda, kabul edilebilir bir süre
içinde iĢin en az etkilenmesini sağlayarak (Finansal kayıplar, saygınlığın zedelenmesi gibi) ve en hızlı iyileĢtirmeye ve
kritik iĢ süreçlerini destekleyen temel teknolojik varlıkların iĢlevlerini yerine getirmesini desteklemeye yönelik bir
yaklaĢımdır. Gözden geçirilmesi gereken temel yanları Ģunlardır:
– Yeniden baĢlama—Felaket sonrasında, kritik ve zamana karĢı duyarlı süreçlerin yeniden baĢlaması ve aksamalar
arası ortalama süre öncesidir (MTBF)
– Diriltme—Temel ve zamana karĢı daha az duyarlı olan, kritik süreçlerin yenidene baĢlamasıyla ilgili süreçlerin
diriltilmesi
– Onarma—Alanın asıl durumuna gelecek biçimde yenilenmesi ve onarılması ve iĢ süreçlerinin tam olarak yeniden
baĢlaması ya da tam olarak yeni bir yerin çalıĢtırılmaya baĢlamasıdır
– Yeniden YerleĢme—Kesintiye bağlı olarak yeni bir yerde, geçici ya da daimi olarak konumlanmak. Yeni den
yerleĢme, her türlü kesintide gerek duyulabilecek bir önlem değildir.
– Kriz yönetimi—Kurumun, kurumsal kârı, ünü ve iĢleme yeteneği üzerinde ortaya çıkabilecek etkilere, zamanında
zarardan kaçınacak veya en aza indirecek biçimde eĢgüdüm halinde toplam tepkinin verilemesidir.
BCP Öğeleri
BCP‘nin en temel öğesi, kaynak dahil olmak üzere muhtemel zayıflıkları ve tehditleri tanımlama ve analiz görevlerinin de yer
aldığı risk değerlendirmesidir. Risk değerlendirmesi bağlamında, kuruma yönelik muhtemel risklerin tanımlanması, kurumun
iĢ operasyonlarının sürmesi için gerekli kritik iĢlevlerin değerlendirilmesi, ortada kalmayı en aza indirecek yerinde kontrollerin
tanımlanması ve bu tür kontrolün maliyetinin değerlendirilmesini kapsar. Bir risk fayda Analizi – risk değerlendirmesinin
çıktısı – muhtemel tehditleri ve ilgili belirginlikleri gerekli acil durum ve azaltma hareketleriyle birlikte dikkatle inceler ve riskleri
kapsamanın getirdiği faydaları tanımlayarak sonuçlanır.
Risk değerlendirmesi sonrasında, iĢ faaliyetlerinde kesintiden kaynaklanan operasyonel etkiler ve toplam finansal görünümü
değerlendiren bir BIA mutlaka yapılmalıdır. BIA mutlaka, değiĢik kesinti senaryolarındaki kontrollerin maliyet –fayda analizini
kesinlikle içeren ama bununla kısıtlı kalmayan değiĢik BS altyapılarınca desteklenen kritik iĢ süreçlerini ve bunların
öncelikliliğini tanımlamalıdır.
161
G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirmesi
2.3
BCP‘nin Anahtar Etmenleri
2.3.1
BCP mutlaka:
•
•
AnlaĢılır, kullanımı ve bakımı kolay olmalıdır.
Normal sistem iĢleyiĢinin kesintisinin yol açacağı iĢ üstündeki olumsuz etkilere ve etkin bir BCP geliĢtirmek ve sürdürmek
için gerekli çabalara dair kapsamlı bir anlayıĢı yönetime sağlamalıdır.
•
•
•
•
Çabalara yürütme – Üst yönetim seviyesinde destek ve katılımının bağıtlanmasının sağlanmalıdır.
Temel iĢ süreçleriyle ilgili kritik bilgi kaynakları tanımlanmalıdır.
Veri gizliliği ve bütünlüğünün sürdürülme yöntemleri tanımlanmalıdır.
Her bir iĢ sürecini kritikliğinin belirlenmesi amacıyla değerlendirilmelidir. Kritiklik göstergeleri aĢağıda yer alır:
– Ġnsan sağlığı, güvenliği veya yaĢam destek süreçleri.
– Yasal ve düzenleyici gereklilikler dolayısıyla gerekli olan süreçler.
– Çökmesi geliri etkileyecek süreçler.

•
•
•
•
•
3.
3.1
3.1.1
4.
4.1
4.1.1
4.1.2
4.1.3
4.1.4
4.1.5
–
MüĢterileri dahil kurumsal itibarı etkileyebilecek potansiyeli vardır,
Planın odağında olması gerekenler
Felaket yönetimi
Yönetilir olmayan bir felaketin etkilerini en aza indirmek
Sırasıyla iyileĢtirme
Operasyonların ve önemli hizmetlerin sürekliliği
Farklı sistemler ve bunların iĢ hedeflerine uygunluğu için RTO‘ları ve iyileĢtirme nokta amaçlarını (RPO) geçerleĢtirmek.
Acil durum planlarını etkinleĢtirecek koĢulları tanımlamak.
–
–
–
–
Acil durum aĢamasında hangi kaynakların kullanılabilir olacağı ve bunların hangi sırayla iyileĢtirileceği tanımlamak.
ĠyileĢtirme için gerekli tedarikçileri (insanlar ve kaynaklar) tanımlamak.
Plan geliĢtirmek için, temel ve kritik iĢlev alanlarının makul temsiliyetini sağlayan teknoloji ve iĢ çevrelerine göre proje
ekibini seçmek.
•
•
•
•
Sağlayıcılar, destek elemanları ve çalıĢanlar arasında iletiĢim kurma yöntemlerini tanımlamak.
Operasyonların iyileĢtirilmesiyle ilgili coğrafi koĢulları tanımlamak.
ĠĢ birimleri açısından iyileĢtirme gereksinimlerini tanımlamak.
BCP varsayımlarının mevcut iĢ planıyla ve zamana güncel olması açısından sistem geliĢtirme süreçleriyle nasıl
bütünleĢtirilmesi gerektiğini açıklamak.
•
Uygulanacak düzenli BCP gözden geçirmeleriyle uygunluğun devamlılığı, özellikle teknolojik, süreçsel, yasal ya da iĢ
gerekleri dolayısıyla değiĢiklikler olması durumlarında belgelerin zamanında güncellenmesi sağlanır. BCP stratejileri,
ayrıca risk değerlendirmesi ve zayıflık değerlendirmesi sonuçlarına göre de yenilenebilir.
•
•
•
Yönetim, operasyon ve teknik testleri de içeren bütünsel bir BCP test yaklaĢımı geliĢtirmek.
DeğiĢiklik süreçleri yönetiminin uygulanmasını ve sürdürülebilirliği kolaylaĢtırmak için uygun sürüm kontrolü uygulamak.
Asıl plana kıyasla, artan ya da azalan kaynakların neden olduğu değiĢen iyileĢtirme öncelikleri için karar vericileri ve
mekanizmaları tanımlamak.
•
Resmi eğitim yaklaĢımlarının belgelenmesi.
BAĞIMSIZLIK
Mesleki Bağımsızlık
BS Denetçisi, daha önce BCP süreçleriyle ilgili olarak tasarım, geliĢtirme, uygulama ya da bakımına katıldığı bir kurumun
denetimiyle görevlendirilirse BS Denetçisinin bağımsızlığına gölge düĢebilir. Bir çıkar çatıĢmasının yaĢanma ihtimalinin
olduğu durumlarda denetçi, açık biçimde kurumla iletiĢim kurmalı ve görev kabul edilmeden önce kurumun açık onayı yazılı
olarak alınmalıdır. BS Denetçisi, bu tür koĢulların üstesinden gelmek için uygun rehberlere baĢvurmalıdır.
YETERLĠLĠK
Yetenek ve Bilgi
BS Denetçisi, BCP ve bağlı unsurlarının gözden geçirmesini yapmak için gerekli bilgi ve yeteneğe sahip olduğunun kabul
edilebilir bir güvencesini sağlamalıdır.
BS Denetçisi, BCP‘nin kurum gereksinimlerini karĢılamaya yeterli olup olmadığını belirleyecek yeterliliğe sahip olmalıdır.
BS Denetçisi, BCP‘nin değiĢik yanlarıyla ilgili gözden geçirmeleri yapmaya yeterli bilgiye sahip olmalıdır. DıĢ uzman girdisi
gerekmesi durumunda, dıĢsal uzman kaynaklardan uygun girdiler elde edilmelidir. DıĢarıdan uzman kullanılabileceği gerçeği,
kuruma yazılı olarak bildirilmelidir.
BS Denetçisi, Bir BCP gözden geçirmesi, temelde kuruluĢ odaklıdır ve gözden geçirmenin etkili olabilmesi için baĢlangıçta
kazandığı bir anlayıĢla iĢ ortamını, kurumun misyonunu, kurumun tabi olduğu yasal gereksinimleri, iĢ hedeflerini, ilgili iĢ
süreçlerini, bu süreçler için gereken bilgiyi, BS‘nin stratejik önemini ve kurumun/kuruluĢun genel stratejisiyle bunların nasıl
bağdaĢtığını kavramalıdır.
BS Denetçisi, gerekli bilgi, yeterlilik, yetenek ve kaynaklara sahip olması durumunda BCP veya politika, test ve iyileĢtirme
planları geliĢtirme görevini üstlenmelidir. Bu koĢulların üstesinden gelmek için BS Denetçisi ilgili Rehberleri dikkate almalıdır.
162
G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi(Devamı)
5.
PLANLAMA
5.1
5.1.1
Gözden Geçirmenin Kapsam ve Amaçları
BS Denetçisi, uygun olması durumunda kurumla iĢbirliği içinde BCP gözden geçirmesinin kapsam ve amacını açıkça
tanımlamalıdır. Gözden geçirmeye dahil edilecek konular, kapsamın parçası olarak açıkça belirtilmelidir.
Gözden geçirme amacı, çözüm paydaĢları ve raporların kimlere gönderileceği ayrıca tanımlanmalı ve bu konuda kurumla fikir
birliği içinde olunmalıdır.
5.1.2
5.2
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.2.6
6.
6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
YaklaĢım
BS Denetçisi, denetim yaklaĢımını, denetim kapsam ve amaçlarının tarafsız ve uzman yollarla gerçekleĢtirecek biçimde
biçimlendirilmelidir.
Denetim yaklaĢımı, kurumun bulunduğu BCP aĢamasına bağlıdır.
YaklaĢım, BCP gözden geçirmesinin bir takım çalıĢması olduğunu ve bu takımda etkin ve sabit üyelerle kendileriyle
görüĢülen kullanıcı grupları olduğunu varsaymalıdır.
YaklaĢım, düzgün biçimde belgelenmeli ve uygun olması durumunda dıĢ uzman girdi gereksinimlerini tanımlamalıdır.
ĠĢ süreçlerinin önceliği, teknolojiler ve risk değerlendirmesinin sonuçları gibi kritik alanlar, planın gerektiği gibi
uygulanacağının makul güvencesini sağlamalıdır.
BS Denetçisi, kurumsal uygulamalara bağlı olarak, BCP denetim plan ve yaklaĢımı için kurumun fikir birliği sağlayabilir.
BT BAKIġIYLA BCP UYGULAMASININ GÖZDEN GEÇĠRĠLMESĠ
Yürütme
Gözden geçirilecek konular ve gözden geçirme sürecine, gözden geçirmenin hedeflenen amaç ve kapsamıyla planlama
sürecinin parçası olarak tanımlanan yaklaĢım dikkate alınarak karar verilir.
Genellikle, kullanılabilir belgeleme araĢtırmasında (BCP, DRP; BIA, iĢ risk Analizleri ve kuruluĢ risk yönetim çerçevesi gibi)
veri toplanması, çözümlenmesi ve yorumlanması uygun biçimde kullanılmalıdır. Bu bilginin hepsi hazır olmasada en azından
kritik iĢ süreçlerini, BT temelli risklerle birlikte tanımlayan temel risk analiz değerlendirmeleri olmalıdır.
BCP ile ilgili baĢlıca risk alanları daha önce tespit edilmiĢ BCP zayıflıklarını ve son BCP testinden sonra, sistem ortamında
yapılan değiĢiklikleri (Uygulamalar, donanım, iletiĢim, iĢleme ve insanlar gibi) içermelidir.
BS Denetçisi, daha önceden belirlenmiĢ ve izlenmesi gerekli olabilecek BCP ile ilgili herhangi bir sorunu tanımlama için Ģu
belgeleri mutlaka gözden geçirmelidir:
•
•
•
•
•
•
•
Vaka raporları
Önceki inceleme raporları
Ġzleme faaliyetleri
Önceki incelemelerin denetim metinleri
Ġç ve dıĢ denetim raporları
•
•
•
TEST—Asıl BCP testi
TEST SONRASI—Grup faaliyetlerinin temizlenmesi
YÜRÜTME SONRASI GÖZDEN GEÇĠRME—Planın asli yürütülmesi ertesinde faaliyetlerin gözden geçirilmesi
Ġç test raporları ve iyileĢtirici eylem planı
Basılı endüstri bilgi ve kaynakları
BS Denetçisi, sistem ortamı değiĢikliklerini, yanılmamak için kurum personeli ve hizmet sağlayıcılarla görüĢmeli, aynı
zamanda harcama kayıt ve raporlarının analizini yapmalı, BT öncüllerini incelemeli, donanım ve yazılım envanterini gözden
geçirmeli ve uygun veri analizi için buna yönelik uzmanlaĢmıĢ bir yazılım kullanmalıdır.
BS Denetçisi, gözden geçirme sırasında aĢağıdaki test aĢamalarının tamamını göz önünde bulundurmalıdır:
• ÖN TEST—Asıl test için hazırlığın yapılmasında gerekli etkinlikler bütünü
Test plan amaçları, bu planın aĢağıdakileri gerçekleĢtirip gerçekleĢtirmediğini doğrulamak için gözden geçirilmelidir:
• BCP hassaslığının ve tamlığının doğrulanması
• BCP‘de yer alan personelin performanslarının değerlendirmesi
• Takımların eğitim ve farkındalığının artması
•
•
•
•
•
6.1.8
BCP takımları, DRP takımları, dıĢ satıcılar ve hizmet sağlayıcılar arasındaki eĢgüdümün değerlendirmesi
Kurum gereksinimlerini karĢılamak için yedekleme olanaklarının kapasitesi ve yeteneğinin ölçülmesi
Temel kayıtların yeniden kullanıma alınması yetisinin değerlendirilmesi
ĠyileĢtirme yerinde yeniden konumlandırılan araçlar ve donanımın miktar ve durumun ölçülmesi
Kurum operasyon ve sürecinin toplam performans ölçümü
BCP testi, iĢ süreçlerini kesintiye uğratmamak için özenle hazırlanmalıdır. Uygun BCP test alanları, yıllık risk
değerlendirmesinin parçası olarak tanımlanmalı ve yinelemeden kaçınılmalıdır. BS Denetçisi, BCP test planının gözden
geçirilmesinde Ģunları doğrulamalıdır:
•
Test planının kapsam ve amaçları
163
G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi
6.1.9
•
•
•
•
•
•
•
•
•
•
•
Test planının sıklığı, yöntemi ve düzeltmeleri
Testlerin türü, uygunluğu ve yeterliliği
Uygulamalar
Veri hacmi
•
•
•
•
•
•
•
•
•
•
•
•
Kesinti nedeni ve özellikleri
Personele, altyapıya ve donanıma verilen zararın boyutları
Etkinin ciddiyeti
Uygulanan etki azaltma alıĢtırmaları
Etkilenen hizmetler
Zarar gören kayıtlar
ĠĢ alanları
Ağ yeniden yönlendirmesi
Sistem zaafları, sızma ve vaka müdahalesi
DeğiĢiklik, konfigürasyon ve yama yönetimi
Denetim kanıt ölçütü ve gereksinimleri
Test ortamı operasyon ortamını temsil eder ve istisnalar belgelenir
Test etkililiği ve bunun risk değerlendirmesi ve iĢ etki sonuçlarıyla iliĢkisi
BS Denetçisi, olay sonrası senaryonun gözden geçirilmesinde aĢağıdakileri doğrulamalıdır:
6.1.10
6.1.11
6.1.12
Kurtarılabilir öğeler
Tamir edilebilir, yenilenebilir ve/veya yerine konabilir öğeler
Sigorta talepleri
Etkilenen süreçler
BT sürecinin yenilenmesi için gerekli zaman
Eylem planı, yenileme takımları, roller ve sorumluluklar
Çıkarımlar ve öneriler, verinin tarafsız analizine ve yorumuna dayanarak yapılmalıdır.
Toplanan veriler, yapılan analizler, ulaĢılan çıkarımlar ve önerilen düzeltici etkinlikler için denetim izleri muhafaza edilmelidir.
Rapor bitirilmeden önce, uygun biçimde gözlemler ve öneriler kurumla birlikte geçerli kılınmalıdır.
6.2
6.2.1
Gözden Geçirilecek Konular
Tipik olarak BCP Ģu anahtar sorunlara gönderme yapar:
•
•
•
•
•
•
•
•
•
6.2.2
Neden yapılmalı?
Nasıl yapılmalı?
Bunu yapmak için kime ihtiyaç duyulmaktadır?
Yapılması gerekenler nelerdir?
Ne zaman yapılmalı?
Nerede yapılmalı?
Hangi politikalara, kurallara ve standartlara göre yapılmalı?
Hangi koĢullar altında kim planı değiĢtirebilir?
Hangi koĢullar altında bir felaketin ―SONA ERDĠĞĠ‖ ilan edilir?
Kurumsal yanlar Ģunları dikkate alarak gözden geçirilmelidir:
• BCP, kurumun misyonu, stratejik hedefleri ve operasyon planlarıyla tutarlıdır
• BCP düzenli olarak güncellenmekte ve güncelliği muhafaza edilmektedir
•
•
•
•
•
•
BCP düzenli olarak denenmekte, gözden geçirilmekte ve daimi uygunluğu onaylanmaktadır
BCP testi, uygulaması ve bakımı için yeterli bütçe tahsisi vardır
Risk analizleri düzenli olarak yapılmaktadır
BT ve telekom envanterini düzenli olarak güncelleyen yerinde tanımlı süreçler vardır
Kurum yönetimi ve personeli BCP uygulaması için gerekli becerilere sahiptirler ve uygun eğitim programı kullanılmaktadır
Acil durumlarda uygun kontrol ortamını (görevlerin dağılımı ve veri ve ortamlara kontrol eriĢimi gibi) sürdürecek önlemler
alınmıĢtır
•
Sağlayıcılar tanımlanmıĢ ve bireylerin rolleri ve sorumlulukları yeterli açıklıkta tanımlanmıĢ, basılmıĢ ve iletilmiĢtir. Acil
müdahale takımı, zarar değerlendirme takımı ve acil yönetim takımı gibi çekirdek takımlar genel olarak oluĢturulur.
Çekirdek takım, tesis dıĢından depolama takımı, yazılım takımı, uygulama takımı ve güvenlik takımı tarafından
desteklenir. Acil operasyon takımı, ağ iyileĢtirme takımı, iletiĢim takımı, ulaĢım takımı, kullanıcı donanım takımı, veri
hazırlama ve kayıt takımı, idari destek takımı, tedarik takımı, düzeltme takımı ve yeniden konumlandırma takımı vardır.
164
G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi(devamı)
•
•
•
•
6.2.3
Arayüz ve kurum içindeki bölümler/birimlere etkisi anlaĢılmıĢtır.
DıĢ hizmet sağlayıcıların rol ve sorumlulukları tanımlanmıĢ, belgelenmiĢ ve iletilmiĢtir
DıĢ hizmet sağlayıcılarla ve müĢterilerle eĢgüdüm süreçleri belgelenmiĢ ve iletilmiĢtir.
BCP takımları, farklı BCP görevlerine yönelik olarak tanımlanır, roller ve sorumluluklar açıkça oluĢturulur ve yönetim
raporlaması hesap verebilirliği tanımlanmıĢtır.
• Yasal ve düzenleyici gerekliliklere uyum sağlanmıĢ ve sürdürülmektedir.
Planlama konuları gözden geçirilmesinde aĢağıdakilere dikkat edilmelidir:

•
Temel iĢ süreçleri analizinin yerinde bir parçasını oluĢturan her bir süreçte oluĢturulmuĢ faaliyetlerin belirlenme yöntemi
•
•
•
•
•
BIA BCP uygulaması öncesi bir risk değerlendirmesi gerçekleĢtirilmiĢtir.
BIA risklerdeki değiĢiklikleri ve BCP üstündeki etkilerini içerir.
BIA, kritik iĢ süreçlerinin önemli iyileĢtirmeleri zaman çerçevesini tanımlar
Riskler, düzenli aralıklarla gözden geçirilmektedir.
Ġç ya da dıĢ olaylar da dahil olmak üzere, beklenmeyen olaylardan kaynaklanan sorunları yönetmek, kuĢatmak ve
etkilerini en aza indirmek için uygun olan müdahale planları yapılır
BCP için planlanmıĢ BS teknoloji mimarisi etkin olarak kullanılabilir, kesinti BT süreçlerini kesintiye uğratırsa güvenli ve
makul operasyonlar yapılacaktır
•
•
•
•
6.2.4
6.3
6.3.1
BCP test ve sürdürümü için uygun test takvimi vardır.
Kurum içi testler, uyarlamalar, olay tetiklemeleri yapılır ve bunların muhtemel etkileri değerlendirilir
Bir BCP yaĢam döngüsü vardır ve bu geliĢme, sürdürüm ve güncelleme sırasını izler
BCP, kuruma uygunluğunun doğrulanması için düzenli aralıklarla gözden geçirilir
Usullerle ilgili konular gözden geçirilirken dikkat edilmesi gerekenler:
•
•
•
•
•
•
Üst yönetim, BCP uygulanması için temel itici güçtür
ÇalıĢanlar, personel ve kritik kaynakların güvenliği yüksek öncelikli olarak sağlanır
Kaynaklar ve bunların iyileĢtirilmesi önceliklidirilmiĢ ve bu amaçla iyileĢtirme takımlarına bildirilmiĢtir.
Bir felaketi durumunda, iĢe etkisi hakkında kurumun bütününde farkındalık yaratılır
Yeterli acil durum karĢılık usulü belirlenmiĢ ve denenmiĢtir
Felaket iyileĢtirme/değerlendirme sürecine katılacak kiĢiler açıkça tanımlanmıĢtır ve rol ve sorumluluklar tüm kurumda
açıkça biçimlendirilmiĢtir
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Tatbikatları da içeren uygun eğitim seviyeleri gerçekleĢtirilmiĢtir
BoĢaltma planları hazırlanmıĢ ve denenmiĢtir
Yedek insan kaynakları tanımlanmıĢtır ve kullanılabilir durumdadır
Cep telefonları, hatlı ve diğer iletiĢim yolları gözden geçirilmiĢ, denenmiĢ ve düzenli olarak güncellenir durumdadır
Alternatif iletiĢim stratejileri tanımlanmıĢtır
Yedekleme ve iyileĢtirme süreçleri, BCP‘nin parçasıdır
Yedekler, geri kullanılabilir durumdadır
Uygun bir yedekleme rotasyonu kullanımdadır
Kurum dıĢı (sıcak, ılık, soğuk siteler) denenmiĢtir, bunlar kullanılabilirliği ve güvenilir durumdadır
Kurum dıĢı kayıtlar uygun biçimde muhafaza edilmektedir
Veri ve bilgi gizliliği ve bütünselliği sürdürülür
Uygun yerlerde ortam iletiĢim stratejileri vardır
BCP, düzenli olarak test edilir ve test sonuçları belgelenir
Test sonuçlarına göre düzeltici eylemler baĢlar
Yeterli sigorta korunması vardır
DıĢ Kaynaklı BS
Hizmet sağlayıcının iĢe olumsuz etkisi ya da kesintisi kuruma ve müĢterilerine doğrudan etki eder. BS Denetçisi, kurumun
tamamen ya da kısmen BS hizmetlerini geçici ya da daimi olarak dıĢ sağlayıcılardan (hizmet sağlayıcılar) temin ettiği
durumlarda BCP süreci de bundan etkilenmektedir ve hizmet sağlayıcının BCP usullerinin kurumun BCP‘si, belgelenmiĢ
sözleĢmeler ve hizmet kullanıcılarını da içeren düzenlemelerle uyumluluğunu mutlaka gözden geçirmelidir.
165
G32 BT BakıĢıyla ĠĢ Süreklilik Planı (BCP) Gözden Geçirilmesi(Devamı)
6.3.2
6.3.3
Gözden geçirmede, ayrıca dıĢ kaynaklı hizmet sağlayıcıyla yapılan anlaĢmada, bilgi sistem hizmetleri ve ürünleriyle kalite
kontrolüne eĢlik ettiği araçların, yöntemlerin, usullerin ve yapının tanımlandığını doğrulamalıdır.
BS Denetçisi, dıĢ kaynaklı hizmetlerin özellikleri, zamanlanmasını ve kapsamını anlamıĢ olmalıdır. BS Denetçisi, ayrıca
hizmet kullanıcısının neyi kontrol ettiğini ve hizmet sağlayıcının BCP‘si ile kurumun iĢ sürekliliği gerekliliğinin aynı noktada
nasıl buluĢtuğunu belirlemelidir. BS Denetçisi, dıĢ kaynaklı faaliyetlere dair yaptığı gözden geçirmede yukarıdakilerin yanında
Ģunları da dikkate almalıdır:
•
•
•
•
•
•
•
•
AnlaĢmanın, hizmet sağlayıcının açık ve engelsiz biçimde, kurum tarafından gerekli görülmesi durumunda
denetlenebilirliğini içerip içermediği
AnlaĢmanın, hizmet sağlayıcının iĢinin kesinti yaĢaması durumuna karĢı kuruma yeterli koruma sağlayıp sağlamadığı
AnlaĢmanın felaket durumunda hizmetin sürekliliğini sağlayıp sağlamadığı
Hizmet sağlayıcının kurumun verilerinin bütünlük, gizlilik ve kullanılırlığına saygı göstermesi
Kurum personelinin dıĢ kaynak düzenlemeleri/ dıĢ kaynağın bağlılık eksikliği nedeniyle hoĢnutsuzluk yaĢaması
Hizmet sağlayıcının tesislerindeki kontrol ve güvenlik yönetiminin eriĢimi
Hizmet sağlayıcının raporlamayı ve izlemeyi ihlali
Hizmet sağlayıcının tesislerinde ağ kontrolü, değiĢiklik kontrolü ve testler
7.
RAPORLAMA
7.1
7.1.1
Rapor Ġçeriği
BS Denetçisi, BCP süreçleri, tesisler ve teknolojiler; varsayılan riskleri ve acil bir durumda bu risklerin nasıl yönetileceğine
dair raporlar hazırlamalıdır. Gözden geçirme performansının izlenmesi anahtar baĢarı etmenlerindendir. BCP gözden
geçirmesinin sonucu olarak ortaya çıkarılan rapor aĢağıdakileri içermelidir:
•
•
Ġzlenen ve varsayılan edilen kapsam, amaç, kapsama süresi ve yöntem
Zayıflıkları muhtemel etkilerini de içerecek biçimde temelde güçlü ve zayıf olan yanlar açısından çözümün bütün olarak
değerlendirilmesi
•
•
Önemli zayıflıkların üstesinden gelmek ve çözüm üretmek için öneriler
COBIT kontrol hedefleriyle, ilgili yönetim kontrol uygulamalarıyla uyum ve ilgisi bağlamında COBIT bilgi ölçütleri ve
bunlara uyum sağlanmamasının etkileri
•
7.1.2
Bir felaket durumunda kabul edilebilir bir zaman çerçevesinde BT sistemlerinin kurtarılması konusunda BCP süreçleri ve
ilgili kontrollerin makul güvencesi. Rapor sonuçları, önerileri, sınırlamaları ya da nitelikleri mutlaka bildirmelidir
• Gelecekte yaĢanacak benzer çözümler veya faaliyetler için deneyimlerin nasıl kullanılacağına dair öneriler
• Görevin kapsamına bağlı olarak diğer konular
Rapor uygun yönetim seviyesine ve eğer kurulmuĢ ise denetim komitesine verilmelidir.
7.2.3
Zayıflıklar
BCP gözden geçirmesinde tanımlanan ve kontrol eksikliğinden, kötü uygulamadan veya ilintili risklerin kabul edilebilir
seviyeye indirilememesinden kaynaklanan zayıflıklar iĢ süreçleri sahibinin ve BCP iĢlemlerinin uygulanmasından sorumlu BS
yönetimine sunulmalıdır. BCP gözden geçirmesinde, zayıflık olarak tanımlanan noktalar önemli veya maddi olarak dikkate
alınmalı ve yürütme kuruluna uygun üst yönetim seviyesine gerekli önlemlerin alınması için öneride bulunulmalıdır.
Etkili BCP kontrolleri, iĢ süreklilik planı sürecine ve ilgili kontrollere bağlı olduğundan ilgili kontrollerdeki zayıflıklar ayrıca
raporlanmalıdır.
BS Denetçisi, raporunda uygun önerileri içererek iliĢkili riskleri en aza indirecek kontrollerin güçlendirilmesini sağlamalıdır.
8.
DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ
8.1
8.1.1
Zamanındalık
BCP içindeki her zayıflığın etkisi geniĢ kapsamlı ve yüksek risklidir. BS Denetçisi, bu nedenle uygun olduğunda, yönetim
hareketlerinin zayıflıklara zamanında müdahale ettiğini mutlaka dikkatlice ve zamanlıca izlemelidir.
8.2
8.2.1
Etkililik
BS Denetçisi, gözden geçirmenin istenen seviyede etkili olmasının makul güvencesinin sağlanması için bir izleme gözden
geçirmesi yaparak önerilerin dikkate alındığından ve düzeltici hareketlerin etkili olacak biçimde uygulandığından emin
olmalıdır.
9.
9.1
YÜRÜRLÜK TARĠHĠ
Bu rehber 1 Eylül 2005 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinin www.isaca.org/glossary adresinde bulunabilir.
7.2
7.2.1
7.2.2
166
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar
1.
1.1
1.1.1
1.1.2.
1.1.3.
1.2
1.2.1
ARKA PLAN
Standartlarla Bağlantı
S4 Mesleki Yeterlilik Standardı: ―BS Denetçisi, denetim yapabilmesi için gerekli bilgi ve beceriye sahip ve mesleki
açıdan yeterli olmalıdır.‖ Ģeklinde ifade eder.
S5 Planlama Standardı: ―BS Denetçisi, denetiminin hedeflerini karĢılayacak bilgi sistemleri denetim
kapsamını ve yürürlükteki kanun ve mesleki denetim standartlarıyla uyumlu planlamalıdır.‖ ġeklinde ifade eder.
S6 Denetim ĠĢinin GerçekleĢtirilmesi Standardı, ―Denetim bulguları ve çıkarılan sonuçlar, bu
kanıtların uygun analizi ve yorumuyla desteklenmelidir.‖ Ģeklinde Ġfade eder.
Tamamlayıcı Rehberler ve Usullerle Bağlantı
Rehberler:
•
•
1.2.2
Usuller:
•
•
•
•
•
1.3
1.3.1
1.3.2
1.3.3
1.3.4
1.3.1
1.3.2
P2 Dijital Ġmzalar ve Anahtar Yönetim
P3 IDS Gözden geçirmesi
P6 Güvenlik duvarları
P8 Güvenlik değerlendirmesi—Saldırı Testi ve Zaafiyet Analizleri
P9 ġifreleme Yöntemleri Yönetim Kontrollerinin Değerlendirilmesi
COBIT Bağlantısı
Belli bir denetimin kapsamına en uygun COBIT materyalinin seçimi, seçilen belli COBIT BT süreçleriyle COBIT kontrol
hedeflerinin dikkate alınması ve ilgili yönetim uygulamalarına dayanır. Sorumluluğun yerine getirilebilmesi için BS
Denetçisinin yetki ve hesap verebilirlik gereksinimleri, seçilen ve uyarlanan en uygun COBIT süreçleri aĢağıda birincil ve
ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol ve süreç hedefleri, görevin kapsam ve Ģartlarına göre değiĢebilir.
Birincil:
•
•
•
M2—İç kontrol yeterliliklerinin değerlendirilmesi.
M3—Bağımsızlık güvencesinin edinilmesi.
M4—Bağımsız denetimin sağlanması.
•
•
•
•
•
•
•
PO6—Yönetim amaç ve yönelimini bilmek.
PO7—İnsan kaynakları yönetimi.
PO8—Dışsal gerekliliklere uygunluğun sağlanması.
Ġkincil:
DS1—Hizmet seviyelerinin tanımlanması ve yönetilmesi.
DS2—Üçüncü taraf hizmetlerinin yönetilmesi.
DS10—Sorunların ve vakaların yönetilmesi.
M1—Süreç izlenmesi.
Ġnternet kullanımıyla en uygun bilgi ölçütleri Ģunlardır:
•
•
1.4
1.4.1
G22 B2C E-ticaret gözden geçirmesi
G24 Internet Bankacılığı
Birincil: Etkililik, etkinlik ve gizlilik
Ġkincil: EriĢilebilirlik, bütünlük ve güvenirlik
Rehber Gereği ve Amacı
BS Denetçileri, hızla değiĢen bilgi teknolojilerine ve ilgili zayıflıklara ve açıklara müdahale etmekte temel rol oynarlar. Bu
Rehberin amacı, internet kullanımı gözden geçirmesinde önerilen uygulamaları, eriĢim ve/veya bağlantıları tanımlamaktır. Bir
BS Denetçisi, kurumun varlıklarını korumak için gerekli kontrol hedeflerine baĢarıyla ulaĢmak için ilgili riskleri ve kontrolleri
tanımlama, belgeleme, test ve değerlendirme yeterliliğine sahip olmalıdır.
Bu rehber, S6 Denetim Performansı BS Denetim Standardı, uygulamasında yeterli, güvenilir, uygun ve faydalı göstergeleri
internet bağlantısı gözden geçirmesinde elde etmek için bir yol göstericilik sağlar. BS Denetçisi, bu Rehberi, yukarıdaki
standartları nasıl baĢarıyla uygulayacağını belirlerken dikkate almalı ve kendi mesleki yargısını kullanmalı ve muhtemel
sapmaları gerekçelendirmeye hazır olacaktır.
Ġnternet, giderek artan oranda kuruluĢların altyapısında yer almakta ve çok sayıda farklı amaçlar için kullanılmaktadır.
Genellikle, internet kullanımı dört parçaya ayrılmaktadır. Ġnternet, aĢağıdaki amaçlarla kullanılabilir:
•
•
•
•
Bilgi edinme ve paylaĢma kaynağı
ĠletiĢim kanalı
KuruluĢların, kurumların veya kiĢilerin dıĢarı açılan penceresi
Ticaret için elektronik bir pazaryeri olarak.
Bu rehber, temel olarak internetin bir iletiĢim kanalı ve kurum ve kuruluĢlar için bir bilgi kaynağı olarak kullanımını
kapsamaktadır. Rehber, ayrıca bir dereceye kadar internetin tanıtım ve ticaret kanalı olarak kullanılması da içermektedir.
167
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar
1.3.3
Bir kuruluĢ, internete bağlı olduğu için çok sayıda tehdide maruz kalmaktadır. Bu tehditlerin üstesinden gelmek için, risk
analizleri yapmak ve gerekli güvenlik önlemlerini almak önemlidir. Ayrıca, internetin durağan olmadığının bilincinde olmak da
önemlidir. Ġnternet ve ona bağlı olarak tehditler ve sonuçta alınması gereken önlemler sıklıkla değiĢmektedir.
1.3.4
Her hizmet için, değiĢik tehditlere dair örnekler verilmiĢtir. Böylesine genel ve kısa bir belgede, risk tablosu tam olarak
kapsanamamıĢtır. Yeni sanal korsanlık araçları çıkmıĢ ve BT sistemlerinde yeni zayıflıklar oluĢmuĢtur. Bu nedenle, internete
bağlanmadan önce güncel tehditler ve alınması gereken önlemler hakkında bilgi sahibi olmak önemlidir.
1.3.5
Ġnternet kullanımıyla bağlantılı, baĢtan sona kadar bir uluslararası kontrol merkezi yoktur. Zorunlu güvenlik önlemlerini almak,
her bir bağımsız kurumun kendi sorunudur.
1.5
1.5.1
Rehber Uygulaması
BS Denetçisi, bu Rehberi uygularken bu Rehberi diğer ilgili ISACA standartlarını, Rehberlerini ve usullerini birlikte dikkate
almalıdır. Bu rehber, tam ayrıntılandırılmıĢ ya da zaman içinde güncellenmekte olan bir rehber değildir.
2.
ĠNTERNET BAĞLANTISI HAKKINDA GENEL VARSAYIMLAR
2.1
2.1.1
Ġnternete Bağlanma Yolları
Ġnternete bağlanmanın değiĢik yolları vardır ve her biri için farklı güvenlik önlemleri gerekir. Bazı örnekler ağağıdadır::
• Bağımsız kiĢisel bilgisayarların modem üzerinden bir internet servis sağlayıcısına (ISP) bağlanmaları
• Yerel ağdaki kiĢisel bilgisayarların modem üzerinden ISP bağlantıları
•
•
•
•
•
2.1.2
Bağımsız kiĢisel bilgisayarların hücresel veri bağlantısı kullanması
Bir yerel ağdaki kiĢisel bilgisayarların hücresel veri bağlantısı kullanması
Yönlendirici üzerinden internete bağlı yerel ağlar
Güvenlik duvarları üzerinden internete bağlı yerel ağlar
Ġki bağımsız ağ—kurum iĢleri için kullanılan bir kiĢisel bilgisayarlar ağı ve internet bağlantısı için kullanılan kiĢisel
bilgisayarların toplandığı diğer ağ
Bu bağlantıların bir kısmı, hizmet sunumu ya da bilgi kanalı olarak internetin oluĢturulabilir, örneğin,
• Ġnternete bağlı bir yerel ağın, yerel ağdaki bir sunucudan iç/dıĢ hizmetler sunması
• Ġnternete bağlı bir yerel ağda, iç/dıĢ hizmetlerin DMZ‘de kurulu bir sunucudan sağlanması
•
•
2.2
2.2.1
2.2.2
Aynı kuruluĢ içindeki iki bağlantılı yerel ağın, interneti bir iletiĢim kanalı olarak kullanması
Yerel ağın, iĢbirliği yapılan ortağın ağına bağlı olması ve internetin iletiĢim kanalı olarak kullanılması (dıĢ ağ)
Tehditler
DıĢ bağlantılara kapalı ağlar için geçerli olabilecek tehditler arasında, teknik hatalar, kullanıcı hataları, sistemin yanlıĢ
kullanımı veya gizli bilgileri açıklayan personelin sadakatsizliği sayılabilir. Bu risk tablosu, kuruluĢ internete sürekli olarak
bağlı olduğunda değiĢebilir.
Saldırılar Ģu alt gruplara ayrılabilir:
• Edilgen saldırılar, örneğin:
– Ağ izlemesi—Dinleme yazılımları, kullanarak kullanıcı adlarını ve Ģifreleri okuyup internet aracılığıyla aktarım
–
–
Veri dinleme—Gelen ve giden e-postaları okuyarak/kopyalayarak gizli bilgi edinme
Casus yazılım kullanımı—Kullanıcının açıkça rızası alınmaksızın, değiĢik yazılımlar kullanarak bilgisayarın
iĢletiminin kontrolünü kısmen ya da tamamen ele geçirme. Belli web sitelerinin ziyaret edilmesi, kullanıcılara bu tür
yazılımların bulaĢmasına yol açar.
• Etkin saldırılar, örneğin:
– Güvenlik zaaflarından yararlanarak eriĢim sağlama giriĢimi—Güvenlik önlemlerinin uygun alınmaması
dolayısıyla yerel ağlara ve BT sistemlerine yetkisiz eriĢim
– ġifrelerin ele geçirilmesi—Ücretsiz yazılımları kullanarak Ģifre dosyalarına eriĢim
– Maskeleme—Gizli bilgiye eriĢim için bilgisayarı güvenilir bir ağ adresi gibi yapılandırmak
– Virüs bulaĢması—Kendini BT sistemi içine katıĢtıran Zararlı kodları yayma ve bu kodlar sistem çalıĢırken kendini
diğer sistem ve bilgisayarlara yayar
– Truva atı—Kendini faydalı bir iĢlevi varmıĢ gibi gösteren Zararlı kodlar kullanmak, bu kodlar ya virüs taĢır ya da
yetkisiz eriĢim için kullanılabilecek Ģifreleri çalan bir iĢletim içerir
– Solucanlar—Kullanıcının bir hareketi olmaksızın kendini bir BT sisteminden diğerine yayan zararlı kodlar
– ĠĢletim sistem ve uygulamalarının hata ve zayıflıklarının kötüye kullanılması—Çoğu sistemde bulunan hata ve
zaafları kullanarak yetkisiz etkinlikler gerçekleĢtirmek
– YanlıĢ yapılandırılmıĢ BT sistemlerinin ve iletiĢim birimlerinin kötüye kullanılması—Sistem yöneticilerinin
hataları dolayısıyla sistem yapılandırması sırasında ya da yeni bir yazılım veya donanım kurulumu sonrası sistem
güncellemesi yapılmaması nedeniyle sisteme eriĢim
• Hizmet saldırıları, örneğin:
– Hizmeti durdurma ya da engelleme giriĢimi—Hizmetin kaldırabileceğinden daha fazla, veri akıĢıyla yol
açılabilecek hataların kötüye kullanımı. Bu veri kazasına yol açabilir.
168
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar
–
2.3
2.3.1
2.3.2
2.3.3
Sistem kapasitesini iĢgal etme—Sistem kapasitesini düĢürmek için çevrimiçi hizmet bilgisayarlarına sürekli istek
göndermek
– BT sistemini yok etme—Veri çarpıĢmasına yol açmak için sistem yapısının tasarımını aĢan çoğunlukla veri
göndererek bilgisayarı aĢırı yüklemek. Beklenmeyen hizmet kesintisine yol açmanın hizmet verilememesi olarak
(DoS) adlandırılan çok sayıda yolu vardır, .
– Havaleleri yeniden yönlendirme—E-ticaret iĢlemlerinden, kredi kartı numaralarını almak için aynı ağ adresinin
yapılandırıldığı bir uzak sunucuya hizmet sağlayıcının ana sayfasını kopyalayarak yayınlamak
– Toplum mühendisliği—Kullanıcı adı ve parolasına veya gizli iĢ sırlarına eriĢim sağlamak için güvenilir bir ortak gibi
davranarak yetkili kiĢiyi kandırmak
Ġnternet Hizmetleri
Ġnternet üzerinde çok sayıda hizmet verilmekte ve sıklıkla yeni hizmetler verilmeye baĢlamaktadır. Günümüzün en yaygın
hizmetleri arasında:
• E-posta
• Küresel Ölçekli Ağ (WWW)
• Dosya Aktarım Protokolü (FTP)
• Haberler
• Telnet/uzaktan etkileĢimli eriĢim
• Ġnternette canlı sohbet (IRC)/Çevrimiçi iletileĢme
Ġnternette en yaygın kullanılan hizmet e-postadır. Bu hizmet giderek daha yaygın biçimde geleneksel mektupların ve faksların
yerini almaktadır çünkü hızlı, düĢük maliyetli ve kullanıcı dostudur. E-posta, güvenli bir hizmet olarak tasarlanmamıĢtır ve
güvenlik zaafları vardır. En belirgin ve önemli zafiyetleri Ģunlardır:
• Gönderici—Kimse bir e-posta göndercisinin gerçekten o gönderici olduğundan emin olamaz. Ad değiĢtirmek gayet
kolaydır ve göndericinin kimlik kontrolü yapılmaz. Bu zafiyet, genelde iĢ ortakları tarafından kullanılan dijital imzalarla
aĢılabilir ancak söz konusu özellik geçici ortaklar arasında yaygın olarak kullanılmaz.
• ġifresiz ileti metinleri—Ġnternet, aracılığıyla gönderilen iletiler Ģifresiz metin olarak gönderilirler. Bu sayede bütün
internet kullanıcıları iletileri okuyabilir ve değiĢtirebilir. Kimse iletilerin internet üzerinde değiĢmeden geldiğinden emin
olamaz. Bu zaaf, iletilerin kriptolanması ile aĢılabilir.
• Ġleti teslimi—Diğer bir e-posta zafiyeti güvenli teslim güvencesi olmamasıdır. Bir iletinin yerine ulaĢması birkaç saniye ya
da dakika alır, bazı durumlarda ise birkaç saat sürer. Teslim zincirindeki sunuculardan birisi bir nedenle kullanımda
değilse, iletiler sunucuda yeniden iĢlevsellik sağlanana kadar muhafaza edilir. E-posta sisteminin yapılandırılmasına
bağlı olarak, kullanıcı hata hakkında bilgi alana kadar biraz zaman geçer. Çoğu e-posta sistemi, posta iĢlevini
sertifikalandırır. Ancak, değiĢik e-posta sistemleri arasındaki uyumsuzluktan dolayı geri bildirim sağlanamayabilir.
• Ekler—Çoğu kuruluĢ e-postayı, ek taĢımaya izin veren internet ile birlikte kullanır. Eğer bu eklerin boyutu, çok büyükse
e-posta sistemini ve sunucuyu doldurur, böylece e-posta kullanıcıları diğer e-postalarını almaktan alıkonur. Bu duruma
düĢmemek için, kuruluĢlar e-postaların alacağı eklerin büyüklüğünün ne kadar olacağına dair kısıtlar koyabilir ve
yönlendirmelerle e-posta arĢivlemesini ve silinmesini düzenleyebilir.
• Ġstenmeyen posta—Giderek artan bir sorun da istenmeyen postalar sorunudur. Bunlar istenmeyen reklâm ve hizmet
önerisi veya utandırıcı ürün postaları olabilir. Bu türlü postalar sunucuyu doldurur ve alıcının zamanını çalar. Ġstenmeyen
posta bir metin güvenliği sorunu değildir ancak BT sisteminin kullanılırlığının düĢmesi ile sonuçlanabilir.
WWW, küresel ölçekli bir ağ biçiminde, Ģifresiz metin, ses ve resim olarak bilgi veren sunucular ağıdır. Uluslararası toplumun
kullanımına yönelik finansal hizmetler, ticaret gibi değiĢik türde hizmetler sunar. Küresel ölçekli ağa eriĢim, Internet Explorer,
opera gibi bir tarayıcılar aracılığıyla olur. WWW özellikleri Ģunlardır:
• Bilgi kalitesi—WWW inanılmaz boyutlarda bir bilgi barındırır; ancak bilgi kalitesi farklılıklar gösterir. WWW üstüne
yerleĢtirilen bilginin bir üst kontrol noktası yoktur. WWW üstüne bilgi yükleyen herkes, yüklediği bilginin kalite
güvencesinden kendi sorumludur. Bu nedenle bilginin, güncelliği, doğruluğu ve güvenirliğine dair bir güvence söz konusu
değildir.
• Ġzler—Bir internet kullanıcısı bir web sitesini, aslen ağ adreslerini ziyaret ettiğinde arkasında çok sayıda iz ve kimi zaman
da kullanıcı adını bırakır. Bir kurum, bilgisayarından internette uygunsuz sitelere eriĢip ardında iz bırakarak kurumun
porno içerikli sitelerle aĢırı uçtaki politik gruplarla ya da diğerleriyle ilintilenmesine yol açılabilir. Bu nedenle çoğu kurum
bu tür siteleri engellemektedir.
• Tarayıcı—DeğiĢik iĢlevleri, sağlamlıkları ve zayıflıkları olan çok sayıda tarayıcı vardır. Tarayıcılarla ilgili olarak sıklıkla,
yeni güvenlik açıkları açıklamaları yapılır. Bu zayıflıkların bazıları kurum açısından önemli sorunlara yol açabilir. Sanal
suçlular zararlı kodlar içeren ve güvenlik açıklarını kullanan ana sayfalar yapabilir ve kurum kiĢisel bilgisayarlarında
yetkisiz görevler gerçekleĢtirebilir.
• Eklentiler—En çok kullanılan tarayıcılarda, ses, video, oyun gibi iĢlevsellikleri artırıcı küçük eklentileri kurmak olanaklıdır.
Bazı eklentilerdeki programlama hataları, iĢgalcilerin BT sistemindeki verilere eriĢim sağlamasına yol açabilir.
• Çerezler—Tarayıcı tarafından kullanılan küçük bilgi kırıntılarıdır ve kayıt ve belgeleme amacıyla, WWW üstünde son
ziyaret tarihi, hangi ana sayfaların ziyaret edildiği, hangi ürünlerin alındığı (örneğin bir e-ticaret sitesinden) gibi bilgiler
sabit diske aktarılır. E-pazaryerleri, genelde çerezleri kullanırlar. Çerezler aynı zamanda parolaları depolarlar; ancak
çerezlerin kullanımı bilinen bir güvenlik tehdidine yol açmamıĢsa da web siteleri kullanıcı ve kullanıcı faaliyetleri bilgilerini
depoladıkları sürece bir kiĢisel bilgi gizliliği ihlâli olarak görülebilirler. Çerez kullanımına izin vermek veya vermemek, bir
politika sorunudur. Çoğu tarayıcıda, çerez kabul edilip edilmeyeceğine karar vermek olanaklıdır. Ayrıca bazı ücretsiz
yazılımlar, internette gezinti yapıldığı sürece çerez kullanımına izin vermekte, çıkıldığında bilgileri temizlemeyi olanaklı
kılmaktadır.
169
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar (Devamı)
2.3.4
2.3.5
2.3.6
2.3.7
FTP, bilgisayarlar arasında veri dosyası aktarımını, olanaklı kılan bir hizmet türüdür. Genellikle WWW‘den dosya indirmekte
kullanılır. FTP temel olarak bir güvenlik özelliğine sahip değildir. Ağ üzerinde kullanıcı adı ve parola Ģifresiz metin olarak
aktarılır. Kullanıldığında hizmeti düzgün yapılandırmak önemlidir. FTP hizmet özellikleri arasında Ģunlar yer alır:
• Genel FTP—DıĢarıdan kullanıcıların kuruluĢ sunucularından program veya veri indirmesine izin veren hizmetlerdir. Bu
hizmeti sunmak isteyen bir kuruluĢ için sistemin düzgün konfigürasyonu yapmıĢ olması önem taĢımaktadır. Aksi takdirde,
kuruluĢ verilerine yetkisiz eriĢim olanaklı olur. Sunucu yasadıĢı program ve verilerin depolanması amacıyla da
kullanılabilir. Bu durumlarda, kullanıcı bir kullanıcı adı ve parolayla (genel ya da ftp) kayıtlanır. Ancak kullanıcı adı ve
parolasının, e-posta adresiyle eĢleĢmesini ve doğruluğunu kontrol eden az sayıda sistem vardır.
• Etkin/edilgen iletiĢim—Diğer hizmetlerin tersine, iletiĢim için FTP iki geçit kullanır. Ayrıca bağlantılar iki yönlü olarak –
etkin ve edilgen- yapılabilir. Etkin kipte, kullanıcı hangi geçidi kullanacağına karar verir. Bu kipte alınan veriyi kontrol
etmek ve filtrelemek olanaklıdır. Edilgen kip kullanılırsa bağlı sunucu, kullanılacak geçide karar verir. Edilgen kipte
güvenlik sağlamak güvenlik duvarları açısından oldukça zordur.
Haberler, kullanıcıların istediklerini tartıĢabildiği bülten panolarıdır. Haberlere bir ileti gönderildiğinde bu bülten panosunda
yazanın adı ve adresiyle birlikte yayınlanır. Ġleti, genellikle dünyanın değiĢik yerlerindeki sunuculara dağıtılır. Bu durumda da
bir ileti yollandıktan sonra, onun silinebilmesi neredeyse olanaksız olmaktadır. Kurum bilgisayarından gönderilen bir ileti,
kurumun görüĢünü yansıtan bir ileti olarak algılanabilir. Bu noktada çalıĢanın kurum sırlarını ifĢa etme ihtimali de
bulunmaktadır. Haber eriĢimini engellemek muhtemeldir ve bu bir kurumsal politika kararıdır.
Telnet hizmeti, ağ üzerindeki diğer bilgisayarlara giriĢ yapmaya olanak veren bir hizmettir. Telnet kullanıcıya karakter temelli
sanal terminal verir. GiriĢ süresince, kullanıcı adı ve parola Ģifresiz metin olarak iletilir. Ġzinsiz giriĢ yapanlar için kullanıcı
adını ve parolayı edinmek ve daha sonra yetkisiz giriĢler gerçekleĢtirmek kolay olur. Bunu önlemek için tek seferlik parolalar
ve Ģifreleme kullanılabilir. Sanal korsanlar için de terminal bağlantısını ele geçirmek (oturum gaspı) olanaklıdır. Kullanıcı giriĢ
yaptıktan sonra, sanal korsan kullanıcının eriĢimleriyle oturumu ele geçirebilir. Kriptolama yardımıyla, bu durumdan
kaçınılabilir. SSH, uzak x-pencereler VNC ve uzak masaüstü ile uzaktan etkileĢimli eriĢim, uzaktan sistem eriĢimi fiili
yöntemlerini kullanarak Telneti ele geçirmeleri beklenir.
IRC ve çevrimiçi iletiĢim, gerçek zamanlı konferans sistemleridir. Kullanıcılar, bütün kullanıcıların katılabildiği görüĢmelerde
– kanallarda – ortak alanlarda iletiĢim kurabilirler. Çoğu IRC/çevrimiçi iletiĢim programları içerdikleri güvenlik açıklarıyla,
yetkisiz giricilerin kurum dosyalarına eriĢimine olanak tanırlar. Yetkisiz giriĢ yapanlar, bu programlar yardımıyla virüs yaymak
veya toplumsal mühendislik uygulamak gibi fırsatları da bulmaktadırlar.
3.
GÜVENLĠK ÖNLEMLERĠ
3.1
3.1.1
Politika, Ürünler ve Ġzlemeler
Güvenli internet bağlantıları, kuruluĢun bilgi güvenlik politikaları üstüne inĢa edilmelidir. Doğru ve güvenli internet kullanımıyla
ilgili Rehberlerin olması ve liderliğin temel odak noktalarından birisinin güvenlik farkındalığı olması önemlidir. ÇalıĢanlar,
güvenlik Rehberleri ilkelerine bağlı kalmazlarsa güvenlik önlemlerinin istenen sonuçları vermesi beklenemez. Kontrol
değiĢikliği ve yetkilendirme usulleri belirlenmiĢ olmalıdır. Ayrıca, güvenlik Rehberleri internet kullanımında etik davranma
konusunu da içermelidir.
Piyasada, internet güvenliğini artıracak çok çeĢitli ürünler satılmaktadır. Zorunlu seviyede bir güvenlik sağlamak için çok
sayıda tamamlayıcı ürün kullanma gereği vardır. Ürünlerin seçimi, risk değerlendirmesi temeline dayanmalıdır.
Alınan güvenlik önlemlerinin izlenmesi büyük önem taĢımaktadır. Güvenlik önlemleri izleme ve gözleme, iĢlem
yönlendirmeleriyle etkin ve rehberle uyumlu bir nokta mutlaka sağlanmalıdır.
Güvenlik Duvarları
Yerel bir ağdan internete bağlantı kurulurken en sık alınan güvenlik önlemi güvenlik duvarıdır. Güvenlik duvarı, yasa dıĢı
giriĢi engellemeye yönelik bir donanım ve yazılım bileĢkesidir. Güvenlik duvarı, kurumun güvenlik politikasını yansıtmalıdır.
Sadece izin verilen hizmetler duvarı aĢabilmelidir.
Bir güvenlik duvarı Ģunlardan biri olabilir:
3.1.2
3.1.3
3.2
3.2.1
3.2.2
•
•
•
•
3.2.3
3.2.4
3.2.5
3.3
3.3.1
Paket filtreleme yönlendiricileri—Ağa giren ve çıkan veri paketlerinin incelenmesi.
Uygulama geçitleri—FTP veya Telnet gibi belli uygulamalara güvenlik mekanizmalarının uygulanması.
Devre seviye geçitleri—STCP ya da UDP bağlantısı kurulduğunda devreye giren güvenlik mekanizması.
Proxy sunucu—Gerçek IP adresini gizleyerek ağa giren ve çıkan iletileri yakalar.
Kullanılan güvenlik duvarı, donanım ya da yazılım temelli olabilir, donanım temelli olanlar temelde ticari ortamlar için
tasarlanmıĢlardır ve adı geçen tekniklerden birden fazlasını aynı anda kullanabilirler.
Bu güvenlik duvarları, farklı türde güvenlik sağlarlar ama hepsinin izlenmesi ve bunlara bakım yapılması gerekir.
Güvenlik duvarlarıyla veri kontrolü sağlayan iki güvenlik kavramı vardır:
• Her Ģeyin tam olarak kısıtlanması—Sadece yönetim tarafından izin verilen hizmetler geçiĢ yapabilir.
• Genel kısıtlama yapılmaması—Yönetim tarafından sadece yüksek riskli olarak tanımlanan hizmetler engellenir.
Bir güvenlik duvarı çözümü aranırken, kuruluĢun güvenlik gereksinimleri, kullanıcı dostu olmak gerekliliği ve BT bölümünün
yeterliği dikkate alınmalıdır. Güvenlik duvarı konfigürasyonu, düzgün olmalı ve kullanıcılar internete eriĢmeden önce güvenlik
politikası ile uyumlaĢtırılması sağlanmalıdır.
Tek seferlik Parolalar
Parolaları açığa çıkarmak amacıyla kullanılabilecek çok sayıda yazılım vardır. Bu yazılımlar, veri suçluları ve sanal korsanlar
tarafından kullanılmaktadır. Kullanıcılar, genelde tahmin etmesi ve yetkisiz giriĢlerde kullanılması kolay olan parolalar
seçmektedir. Ancak tahmin edilmesi zor olan bir parola bile açığa çıkarılabilir. Bilgisayarlar, bugün için eriĢtikleri güçle en
karmaĢık parolaları bile açığa çıkarmaktadırlar. KuruluĢ sistemine yetkisiz eriĢimi önlemek için kullanılabilecek muhtemel
yöntemlerden biri tek seferlik parolalardır. Bu parolalar, bir parola oluĢturucu ya da hesap makinesine benzer bir birim
üzerine yerleĢtirilmiĢ sayılar arasından seçim yaparak çalıĢan kimlik sorma/yanıtlama sistemiyle oluĢturulabilir. Tek seferlik
parolalar, güvenli bir çözüm üretmek amacıyla tercihen ĢifrelenmiĢ yazılımlarla oluĢturulmalıdır.
170
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar(Devamı)
3.4
3.4.1
Saldırı Testi ve Test Yazılımı
Söz konusu zaafların artarak karmaĢıklaĢması, bilinen web uygulamaları zaaflarının araĢtırılmasını önermeyi gerektirir.
Ücretsiz ya da satılmakta olan çok sayıda yazılım, değiĢik zaaf ve güvenlik açıklarının BT sistemlerinde testine olanak
vermektedir. Bunların bazıları, internet güvenliğine katkı sağlamak isteyen ciddi kiĢiler ya da Ģirketler tarafından
geliĢtirilmiĢtir. Ancak, çoğu da veri suçluları tarafından kuruluĢ sistemlerine sızma sağlamak için geliĢtirilmiĢtir. Güvenilir
Saldırı test yazılımı kullanımıyla, kuruluĢun internet bağlantısı için alınan güvenlik önlemlerinin niteliği denenebilir.
3.5
3.5.1
Saldırı Tespit ve Önleme Sistemleri
Saldırı tespit ve önleme sistemleri, (IDS) yerel ağı ve iĢ sistemlerini çözümleyerek yasadıĢı saldırıları bir zarar ortaya
çıkmadan önce açığa çıkarmak için kullanılırlar. IDS, izinsiz giriĢ yapılmaya çalıĢıldığını anladığı anda, güvenlik önlemlerini
devreye sokacak olan kuruluĢ BT personeline ya da güvenlik yönetimine ileti gönderir. Yeni tehdit ve saldırıların öğrenilmesi
durumunda IDS ivedi olarak güncellenmelidir.
Saldırı tespit ve önleme sistemleri, (IPS), saldırı yapılırken ya da yapıldıktan sonra tanımlama sistemine dayanan dosya
imzaları kullanan güvenlik araçlarından farklı bir anlayıĢa sahip olarak saldırıyı gerçekleĢmeden önce öngörür. Bunu
bilgisayar sisteminin anahtar noktalarını izleyip solucanlar, Truva atları, casus yazılımlar, zararlı yazılımlar ve korsanlar gibi
―kötü davranıĢları‖ arayarak yapar. Çıkan tehditlere karĢı tam güvenlik sağlamak için virüs korunma, casus yazılım
korunma ve güvenlik duvarları gibi araçların tamamlayıcısı olarak çalıĢır. Tehdit imzalarını ya da yamalarını tanımlayıp
dağıtan bir temele güvenen geleneksel güvenlik yöntemlerinin ötesinde yeni (sıfır-gün) tehditleri engelleme yeterliğine
sahiptir.
3.5.2
3.6
3.6.1
Kriptolama
Ġlkesel olarak internet üzerinden aktarılan veri herkese açıktır. Bu demektir ki, korunmayan hassas bilgi ele geçirilebilir ve
yasa dıĢı amaçlarla kullanılabilir. Sistem bütünlüğü ve gizliliğini sağlayacak yöntemlerden biri kriptolamadır. Kriptolama,
değiĢik seviyelerde kullanılabilir. Kriptolama, en güvenli çözüm uygulama seviyesinde kriptomaladır, böylece gizlilik ve
bütünlük son kullanıcıya kadar tüm yol boyunca sağlanır. Ancak bu çözüm kullanıcıların yazılımlarının uyumuna bağlıdır.
3.7
3.7.1
Dijital Ġmzalar
Dijital imza, kullanımıyla ileti bütünlüğü sürdürülebilir. Bu özellikle, internet üzerinden ticarette faydalıdır. Dijital imzalar, özel
ve genel olmak üzere anahtar çifti temeline dayanır. Gönderici, özel Ģife anahtarı ve alıcının genel anahtarıyla ĢifrelenmiĢ
iletinin bu anahtarlarla birlikte bir parmak izini (kopyasını) çıkarır. Alıcı süreci, tersine çevirir, göndericinin genel ve kendisinin
özel anahtarıyla Ģifreyi çözer. Burada göndericinin parmak iziyle karĢılaĢtırılacak yeni bir parmak izi oluĢur. Eğer ikisi aynı bir
Ģey değiĢmez.
3.8
3.8.1
Sanal Özel Ağlar (VPN)
VPN, paylaĢılan, güvenliksiz, fiziksel ağlar ya da ağlar üstünden iki ya da daha fazla sayıda bilgisayarın güvenli iletiĢimini
kuran bir araçtır. Bilgisayarlar ağa bağlı olabilirler ama sadece aynı sanal ağın üyesi olan bilgisayarlar veri değiĢimi
yapabilirler. ĠletiĢim kanalları kriptolama ile güvenli hale getirilebilir.
3.9
3.9.1
Virüs Korunma Programları
Makro virüslerin de ortaya çıkıĢının ardından veri virüsü büyüyen bir sorundur. Veri virüsleri, aralarında e-postalar,
internetten indirilen oyunların ve programların korsan sürümleri de olan çok değiĢik kaynaklardan yayılabilmektedir. Ekli epostalar, alan ve çalıĢanlarının internetten indirme yapmasına izin veren bütün kuruluĢlar sunucularında ve/veya kiĢisel
bilgisayarlarda virüs korunma yazılımları kullanmalıdırlar. Bu virüs korunma yazılımlarını, güncel tutmak için gerekli
önlemlerin alınmıĢ olması büyük öneme sahiptir.
3.10
3.10.1
Casus Yazılım Korunma Programları
Casus yazılımlar kendi kendini çoğaltmıyor olması nedeniyle virüs ve solucanlardan farklıdırlar. Son zamanlarda çıkan çok
sayıdaki virüs gibi casus yazılımlar da bulaĢtıkları bilgisayarlardan ticari kazanç elde etmeyi amaçlamaktadırlar. Bu amacı
gerçekleĢtirmenin tipik yolları arasında, istenmeyen açılır reklamlar, kiĢisel bilginin çalınması (kredi kartı numarası gibi
finansal bilgiler de dahil), pazarlama amacıyla web-tarayıcısı faaliyetlerini izlemek veya http istemlerini reklam sitelerine
yönlendirmek yer almaktadır. Bu duruma maruz kalmaktan kaçınmak için her kuruluĢ casus yazılımları engelleyen ya da yok
eden casus yazılım korunma programlarını kurmalıdır.
3.11
3.11.1
Sisteme Girme ve Ġzleme
Ġnternet trafiğini izlemenin ve kaydetmenin kendisi bir güvenlik önlemi değildir ama saldırıları tespit etmenin, ağ ve iĢ
sistemleri güvenliğini sürdürmenin ön koĢuludur. Etkin olması bakımından izleme ve kayıt, güvenlik duvarı gibi iletiĢim
noktalarında yapılmalıdır. Ġzlenmesi gereken olaylar, kuruluĢ politikası ve risk değerlendirmesi temeline dayanmalıdır. Çok
büyük miktarda veri içeren kayıt sonuçları manuel olarak kiĢi tarafından izlenemez. Bu nedenle, ilgili kayıt verisini filtreleyip
çözümleyen ve sunan bir yazılım/araç edinmek uygun olacaktır.
171
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar(Devamı)
4.
ĠNTERNETĠN KURUM TANITIM KANALI OLARAK KULLANILMASI
4.1
4.1.1
Ġnternetin Pencere Olarak Kullanılması
WWW‘nin baĢlamasından beri internet kuruluĢların penceresi olarak kullanılmaktadır. Bu rehber, kuruluĢun kendini nasıl
sunması gerektiğiyle ilgilenmemektedir ancak WWW‘ye bilgi aktarılmadan önce ve aktarıldıktan sonra nelere dikkat edilmesi
gerektiğine değinmektedir.
4.2
4.2.1
WWW‘ye Bilgi Aktarılmadan Önce
WWW‘de temsil edilmek, kuruluĢlar için bir zorunluluk haline gelmiĢ gibi görünmektedir. Bilgiler ana sayfalara genellikle
güvenlik unsuru çok da dikkat edilmeksizin yerleĢtirilir. ĠĢ ve çalıĢanlar hakkında ayrıntılı bilgi verilerek veri suçluları
tarafından gerçekleĢtirilecek toplum mühendislerine ortam hazırlamaktadır. Ayrıca, veri suçlularının sunuculara girerek ana
sayfa bilgilerini değiĢtirmelerine de rastlanmaktadır.
Bir kuruluĢ, ana sayfasını hazırlamadan önce bir arka plan ihtiyaç analizi yaparak hangi bilgiyi sunmanın uygun olduğunu
belirlemeli ve sunulan bilginin kuruluĢu ne tür risklerle karĢı karĢıya bıraktığını açıklaĢtırmalıdır.
4.2.2
4.3
4.3.1
WWW‘ye Bilgi Aktarıldıktan Sonra
Sıklıkla güncellenmeyen ana sayfalara ilgi azalmaktadır. Bakım ve geliĢtirme temel öneme sahiptir. Ayrıca, sunucular
muhtemel yasa dıĢı giriĢler ve etkinliklere karĢı günlük olarak izlenmelidir. Eğer veri, suçluları eriĢim sağladıysa ana sayfa
içeriği değiĢik yollarla değiĢtirilebilir. Örneğin, iletiĢim bilgileri rakip firmanınki olarak değiĢtirilirse satıĢlarda azalma olabilir.
WWW eriĢimiyle korsan yazılım kopyalaması ya da sunucuda yasa dıĢı bilgi depolama gerçekleĢtirilebilir.
4.4
4.4.1
Ticaret Kanalı Olarak Ġnternet
Ġnternet üstünden ürün pazarlaması (e-iĢ) tüm dünyada büyüyen bir hizmettir. Bu ticaret etkinliği ödemeleri de içerdiğinden
ileri seviyede güvenliği gerekli kılmaktadır. MüĢteri sağlayıcıya kredi kartı bilgilerini bunların yanlıĢ kullanılmayacağına
duyduğu bir güvenle verebilmelidir. Diğer yandan, sağlayıcılar sipariĢlerin gerçekliğinden emin olabilmeli, gereksiz
maliyetlerden ve yanlıĢ kullanımdan kaynaklı ekonomik sorumluluklardan uzak kalabilmelidir.
Ġnternet üstünden yapılan ticareti güvenli kılmaya yönelik çok sayıda çözüm üretilmiĢtir. Bunlar arasında en yaygın kullanılanı
Güvenli Soket Katmanı (SSL) ve Güvenli Elektronik Havaledir (SET).
4.4.2
4.5
4.5.1
Elektronik Para
Ġnternet üstünden yapılan ticaret, elektronik para iĢlemlerinin güvenliği gereğini artırmıĢtır. Çoğu insan kredi kartı
numaralarını açıklamaya eğilimli değildir ve küçük para aktarımları için kredi kartı kullanımı kârlı da değildir.
Bu
nedenle, çok sayıda e-ticaret Ģirketi çözümü elektronik parada bulmuĢtur. E-ticaret için ticaret zinciri üç parçadan oluĢur:
MüĢteri, sağlayıcı ve banka. MüĢteri, elektronik parayı kullanmadan önce bankadan elektronik cüzdan indirmelidir. Bu
cüzdan, kiĢisel bilgisayara, kiĢisel dijital yardımcıya (PDA) ya da akıllı karta kurulabilir. Ġndirdikten sonra para kullanıma
hazırdır. Havaleleri güvenli kılmak için dijital imza kullanılır.
4.6
4.6.1
4.6.2
Güvenilir Üçüncü Taraf (TTP)
Ġnternet temelli ticaret ya da kuruluĢların kritik bilgi veya veri değiĢimi açısından izlenebilirlik gereklidir. Ġzlenme bütünlüğünün
güvenliği için, havalenin gerçekliğine dair üçüncü tarafların tanıklığı kullanılır. Bunlar, BT iĢinin büyük hizmet sağlayıcılarıdır
ve genel anahtar altyapısı (PKI) denen bir teknolojiyi kullanırlar. BaĢlıca iĢlevleri doğrulama, kriptolama ve dijital imzadır.
Son yıllarda, kuruluĢların üçüncü taraflara gerek duymadan kendi güvenliğini sağlayabileceği çözümler geliĢtirilmiĢtir.
5.
DENETĠM ĠġĠ PERFORMANSI/GÜVENLĠK GÖZDEN GEÇĠRMESĠ
5.1
5.1.1
Planlama
BS Denetçisi, kurumun internet kullanımı ve eriĢimine dair bir anlayıĢ kazanmalıdır. BS Denetçisi, kurum ve kurum
misyonunu dikkate alarak internet eriĢimi ve kullanımından kaynaklanan risk değerlendirmesini yapmalıdır.
Denetimin kapsamı, amacı ve zamanlamasını içeren denetim programı geliĢtirilmelidir. Rapor düzenlenmesi, denetim
programında açıkça yer almalıdır. Kurum özellikleri, büyüklüğü ve paydaĢlarına gereken dikkat verilmelidir. BS Denetçisi,
kurum misyonu ve iĢ amaçlarıyla teknik altyapı ve kritik iĢ verilerine dair bir anlayıĢı kazanmalıdır.
Bilgi yöneticileri ve sahipleri de dahil olmak üzere, anahtar personelin rol ve sorumluluklarını gösteren kurumsal yapının
anlayıĢı da kazanılmalıdır.
Denetim planlama aĢamasının temel amacı, kurumun internete bağlandığında hangi tehdit ve risklerle karĢılaĢacağını
anlamaktır.
Ġzlenecek Adımlar
BS Denetçisi, internete bağlanma kararının kuruluĢun bütün gereksinimler değerlendirmesi sonucuna dayalı olarak verilip
verilmediğini dikkate almalıdır. Kurul ve yönetim, internet kullanımına dair verdikleri kararın tehditleri nasıl değiĢtirdiğini
bilmeli ve risklerin farkında olmalıdır. BS Denetçisi, gözden geçirmenin kapsamı tanımlanırken toplanan, depolanan ve kurum
içinde değiĢik amaçlarla kullanılan bilginin türü gibi etmenleri de göz önünde bulundurmalıdır.
5.1.2
5.1.3
5.1.4
5.2
5.2.1
172
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar(Devamı)
5.2.2
BS Denetçisi, kurumun aĢağıdakilere sahip olup olmadığını saptamalıdır:
• Ġnternet politikası
•
•
•
•
5.3
5.3.1
Güvenlik duvarı, ağ bağlantısı ve benzerini izleme ve izleme Rehberi
Olay raporlama usulü
Ana sayfa güncelleme Rehberi
Eğitim ve farkındalık programları
BS Denetçisince, bunlar eğer mümkün ise değerlendirilmeli ve internet kullanımının politika ve usullere uygun olduğuna dair
makul bir güvence verilmelidir.
Ayrıntılı Gözden Geçirmenin Yapılması
BS Denetçisi, aĢağıdaki yönetim konularını değerlendirmelidir:
•
•
•
Yönetimin sorumluluğu
Ġnternet eriĢimi verilmesinin amacı
Ġnternet eriĢiminin kısıtlanmasına ya da engellenmesine gerek duyulmasına yol açacak gizli/özel verilerin kuruluĢ
bünyesinde olup olmadığı
•
•
•
•
•
•
5.3.2
Bağlantı türü
ÇalıĢanların eriĢimine temel olacak bir ihtiyaç değerlendirmesinin yapılması
EriĢimin belli saatlerde ya da haftanın belli günlerinde kısıtlı olması
ÇalıĢanların gezinmesi/bilgi toplaması için girebilecekleri yerlere dair bir kısıtlamanın varlığı
KuruluĢun internetten ürün ya da hizmet satıĢı gerçekleĢtirmesi ve ödemelerin internetten yapılması
KuruluĢun internet bağlantısını kurmak, izlemek ve sürdürmek için zaman ve kapasite açısından yeterli olması
Risk değerlendirmesi, en azında aĢağıdakileri kapsamalıdır:
•
•
•
•
•
•
•
•
5.3.3
Tehditler
Ġnternete bağlanıldığında tehditlerde oluĢacak değiĢiklikler
Kullanılan bilgi güvenlik politikasının internet kullanımını kapsayıp kapsamadığı
KuruluĢun veri suçluları için ilgi çekiciliği ya da endüstri ispiyonculuğuna hedef olma durumu
Ġç/gizli bilginin yetkisiz giriĢ yapanların eline geçmesinin sonuçları
Bir güvenlik vakası yaĢanmasının maliyeti
Bir güvenlik vakası yaĢanmasının ihtimali
Ġnternet bağlantısını güvenli kılmak için alınması gereken güvenlik önlemleri
Ġnternet kullanımıyla ilgili rehberler en azından Ģunları içermelidir:
•
•
•
•
•
•
•
•
•
5.3.4
Güvenlik politikası bağlantısı
Ġzin verilen hizmetlerin listesi
Bu hizmetlerin kullanımına dair kabul edilir kurallar ve bu kuralların çiğnenmesinde uygulanacak yaptırımlar
Yasa ve yönetmeliklere uygunluğun sağlanması için ağ izleme usullerinin açıklanması
Etik tavırların belgelenmesi
E-posta gönderme ve depolama kuralları
Kullanıcı eğitimi gereksinimleri
ĠĢbirliği yapan ortaklar arasındaki potansiyel anlaĢmalar
Ġnternet trafiğini kaydetmek ve izlemekle ilgili yasaların, muhtemel çiğnenmesini engellemek için çalıĢanların Rehberleri
okuduklarını, anladıklarını ve bunlara uyacaklarını doğruladıkları bir anlaĢmayı imzalamaları
Ġnternet operasyon belgesi en azından Ģunları içermelidir:
•
•
•
•
5.3.5
Bütün teknik donanım ve altyapı
Kayıt ve izleme kuralları
Uyarma kurulumu
Kayıt ve vaka izleme yöntemleri
Ġnternet bağlantı belgesi en azından aĢağıdakileri içermelidir:
•
•
•
•
•
•
•
•
Ağ geniĢliğinin tanımı
EriĢim noktalarının tanımı
Bütün modem bağlantılarının tanımı
Yönlendiricilerin ve muhtemel proxy sunucuların yapılandırması
Güvenlik duvarı yapılandırması
Kriptolama ve dijital imzalar gibi diğer güvenlik önlemlerinin konfigürasyonu
Bir kere yaz çok kere oku (WORM), harici diskler ve bantlar gibi kayıt dosyalarının güvenli saklanma açıklamaları
Sistem kayıt dosyalarının yeniden yaratılma usulleri
173
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar(Devamı)
5.3.6
5.4
5.4.1
5.4.2
Ġzleme yöntemleri belgesi en azından aĢağıdakileri içermelidir:
•
•
•
•
•
•
Yedekleme kaynaklarını da içeren internet bağlantısının bakım ve yönetim sorumluluklarının tanımı
•
•
•
•
•
•
BS politikaları, Rehberleri ve etik ölçütlerine uygunluk
Bilginin toplandığı ülkedeki var olan yasa ve düzenlemelere saygı
Güvenlik duvarı sistem kayıt dosyalarının gözden geçirilmesi
Kullanılan sunuculardan yapılan aktarımların gözden geçirilmesi
Kullanıcı faaliyetleri sistem kayıt dosyalarının gözden geçirilmesi
Ağ istatistiklerinin gözden geçirilmesi
Muhtemel güvenlik vaka ve teĢebbüslerin izlenmesi
Sorumluluklar
Kullanıcı sorumlulukları aĢağıdakileri içerir:
Telefon ve e-posta gibi haberleĢme araçlarında parolaları asla açıklamamak
Bilinmeyen bir kiĢiden telefon ya da –e-posta ile gelen bir isteme dayanarak parolaları asla değiĢtirmemek
Yerel ağda kullanılan kullanıcı adını ve parolayı asla internette kullanmamak
Ġnternetten indirilen veriyi iĢ kararları, ticaret ya da ödeme öncesinde mutlaka doğrulamak
BT yönetimi sorumlulukları Ģunları içerir:
•
5.4.3
Kullanılmakta olan internet güvenlik duvarı, yönlendirici, sunucu ve diğer BT donanımı bakımı ve izlemesi. Bu
sorumluluk, sistem yazılım ve uygulamalarının doğru sürümünün kurulması ve kullanılmasını da içerir. Ayrıca, BT
yönetimi güvenlik duvarı kayıtlarının günlük izlendiğinden ve yapılandırmasının yazılı rehberlere göre olduğundan emin
olmalıdır.
• Kullanılmakta olan sistem ve uygulamalarla bir arada olan zaaf ve tehditlerin güncellenmesi güvenlik seviyesinin uygun
sürdürümünün bir ön koĢuludur.
Güvenlik yönetimi sorumlulukları arasında aĢağıdakiler yer alır:
•
Bilgi güvenliğinden sorumlu kiĢinin BT operatörlüğü, sistem çözümleyiciliği ya da programcılık gibi ek iĢlevleri üstüne
almasını kısıtlamak
•
Ġnternet kullanımıyla ilgili rehberler hazırlatmak ve güvenlik yöneticisinin ana görevi olan internetin kabul edilebilir ve etik
kullanımı hakkında kullanıcılara bilgi vermek
Bilgi güvenliği içinde en üst yönetime bir kaynak olarak hareket etmek
•
•
•
•
•
•
•
•
5.4.4
Güvenlik duvarı sistem kayıtlarını gözden geçirmek
Güvenlik sistemlerinden gelen raporlarını gözden geçirmek
Güvenlik önlemlerinin düzenli olarak test edildiğinden emin olmak
Süreklilik ve felaket planlarının kuruluĢ hizmetlerini kapsadığından emin olmak
Güvenlik vaka ve giriĢimlerini izlemek
Önemli güvenlik vakalarından yönetimi bilgili kılmak
BT yönetimi gibi kullanılmakta olan sistem ve uygulamalarla bir arada olan zaaf ve tehditlerin güncellenmesi
Üst yönetim sorumlulukları aĢağıdakileri içerir:
•
•
•
•
5.5
5.5.1
Genel internet politikasının biçimlendirilmesi
Ġzleme politikaları ve ilgili süreçler
Yeterli kaynağın sağlanması
BT yönetimini politikaları uygulamak için güçlendirmek
Teknik Sorunlar ve Güvenlik Önlemleri
Teknik sorunlar arasında aĢağıdakiler sayılabilir:
•
•
•
•
5.5.2
Sistem yazılımında, güvenlik uyarıları ve yetkisiz sistem kayıt vakaları etkinleĢtirilmelidir.
Yerel ağ ve internet arasındaki bağlantı güvenlik duvarı tarafından korunmalıdır.
Güvenlik duvarından sadece yönetimin izin verdiği hizmetler geçmelidir.
Güvenlik duvarı izin verilmeyen bütün ağ protokollerini durdurmalıdır.
Hizmetle ilgili yöntemler arasında Ģunlar yer alır:
•
E-posta
– Kritik iletiler Ģifrelenmelidir.
174
G33 Internet Kullanımıyla Ġlgili Genel Varsayımlar(Devamı )
•
•
•
–
–
–
Zamana duyarlı iletiler manuel olarak ile izlenmelidir.
Zararlı kodların, muhtemel zararını önlemek için ekler taranmalıdır.
Parolalar, e-posta ile gönderilmemelidir.
WWW
–
–
–
–
Ġnternet hizmetleri kullanılırken kiĢiler, yerel ağda kullandıklarından farklı kullanıcı adı ve parola kullanmalıdır.
WWW‘den indirilen bilgi, kullanılmadan önce kontrol edilmeli ve doğrulanmalıdır.
Sadece onaylı internet tarayıcısı kullanılmalı, yapılandırma, kurulum ve eklenti değiĢikliğine izin verilmemelidir.
Ġnternetten indirilen bütün dosyalar virüslere ve casus yazılım gibi zararlı kodlara karĢı taranmalıdır.
FTP
–
Ġnternetten indirilen bütün dosyalar, virüslere ve casus yazılım gibi zararlı kodlara karĢı taranmalıdır.
Haberler
– Kullanıcıların ―ATEġLĠ TARTIġMALARA‖ girmesine izin verilmemelidir.
–
•
•
Kullanıcıların kurum, çalıĢanlar, iĢbirliği yapılan ortaklar, sağlayıcılar ya da rakipler hakkında olumsuz izlenimlere yol
açabilecek yazılar yazmalarına izin verilmemelidir.
– Haberlerden toplanan bilgi kullanılmadan önce kontrol edilmeli ve doğrulanmalıdır.
Telnet
– Eğer mümkün ise bir kerelik parolalar kullanılmalıdır.
IRC/Çevrimiçi iletileĢme
–
–
5.5.3
IRC ve çevrimiçi iletileĢmeye sadece tek duran, bağlantısız bilgisayarlardan izin verilmelidir
IRC ve çevrimiçi iletileĢmede kuruma ait iç bilgilerin verilmesi yasaklanmalıdır.
Diğer güvenlik önlemleri aĢağıdakileri kapsar:
 Ev ya da iĢyeri dıĢında farklı bir yerden giriĢ yapılırken, bir kerelik parola gibi doğrulama güvenliği olan bir VPN
kullanılmalıdır.
 DıĢ kullanıcıların, kullanımına ayrılmıĢ sunucular DMZ‘de kurulmalıdır.
• CGI dili ve internetten veri almada kullanılan diğer kodların kalite güvencesi olmalı ve bunlar hata ve zayıflıklar açısından
denenmiĢ olmalıdır.
6.
YÜRÜRLÜK TARĠHĠ
6.1
Bu rehber 1 Mart 2006 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinin www.isaca.org/glossary adresinde bulunabilir.
175
G34 Sorumluluk, Yetki ve Hesap Verebilirlik
1.
ARKA PLAN
1.1.
1.1.1.
Standartlarla Bağlantı
S1 Denetim Yönetmeliği Standardı:‖ Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,
sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde
belgelenmelidir.‖ Ģeklinde ifade eder.
S3 Meslek Etiği ve Standardı: ―BS Denetçisi, ISACA Meslek Etik Kuralları‘na bağlı kalmalıdır‖. Ģeklinde ifade
eder.
1.1.2.
1.2.
1.2.1.
1.2.2.
1.2.3.
1.3.
1.3.1.
1.3.2.
COBIT Bağlantısı
Yüksek seviye kontrol amacı M3 (bağımsız güvence edinimi), ―…kurumlar, müĢteriler ve üçüncü taraf sağlayıcılar arasında
güven ve gizliliği artıracak bağımsız güvenceyi edinmek‖. Ģeklinde ifade eder.
Yüksek seviye kontrol amacı M4 (bağımsız denetimin sağlanması) ―…güven seviyelerini ve en iyi uygulama önerilerini
artırmak için bağımsız denetimin sağlanması‖. Ģeklinde ifade eder.
Ayrıntılı kontrol amacı M4.1 (denetim sözleĢmesi), ―Denetim iĢlevi için sözleĢme kurumun üst yönetimi ile yapılmalıdır. Bu
belge denetim iĢlevinin sorumluluğunu, yetkisini ve hesap verilebilirliğini ortaya koymalıdır. Yönetmelik, düzenli olarak
gözden geçirilerek sürmekte olan denetim iĢlevinin bağımsızlığı, yetkisi ve sorumluluğunu güvence altına alınmalıdır‖.
Ģeklinde ifade eder.
COBIT Referansı
Belli bir denetim çerçevesine en uygun COBIT materyali seçimi, belli COBIT BT süreci ve göz önünde bulundurulan COBIT
kontrol hedefleri ve iliĢkili yönetim uygulamaları temeline dayanır. Gereksinimleri karĢılamak için en iliĢkili olduğu
varsayılabilecek seçilen ve uyarlanan COBIT süreçleri aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve
uyarlanan süreç ve kontrol hedefleri, söz konusu görevin kapsam ve koĢullarına bağlı olarak değiĢebilir.
Birincil:
•
•
•
1.3.2.
M2—Ġç kontrol yeterliliğinin değerlendirilmesi.
M3—Bağımsızlık güvencesi edinimi.
M4—Bağımsız denetimin sağlanması.
Ġkincil:
•
•
•
•
•
•
•
1.3.4.
PO6—Yönetim amaç ve yönelimlerini bildirmek
PO7— Ġnsan kaynakları yönetimi
PO8— DıĢ gerekliliklere uyumun sağlanması
DS1— Hizmet seviyelerinin tanımlanması ve yönetilmesi
DS2— Üçüncü taraf hizmetlerinin yönetimi
DS10— Sorun ve vakaların yönetimi
M1— Süreçlerin izlenmesi
Sorumluluk, yetki ve hesap verebilirlikler en iliĢkili bilgi kıstasları:
•
•
1.4.
1.4.1.
1.4.2.
1.4.3.
1.4.4.
1.5.
1.5.1.
Birincil—Etkinlik, verimlilik, eriĢebilirlik ve gizlilik
Ġkincil—EriĢebilirlik, bütünlük ve güvenirlik
Rehberin Amacı
Sistem karmaĢıklığının sürekli artıĢı ve uzman iĢi haline gelen siber tehditler sonucunda kurumlar giderek daha yoğun olarak
sistem risk ve zaaflarını tanımlayıp, değerlendirip çözümler önerme bilgi, uzmanlık ve becerisine sahip uzmanlar
aramaktadırlar. BS Denetçileri, hızla değiĢen bilgi teknolojisine, iliĢkili zaaflarına ve muhtemel açıklarına yanıt vererek kurum
varlıklarını korumakta ve risk tanımlaması, değerlendirmesi ve azaltmasında temel bir rol oynarlar. BS Denetçileri, teknik BT
becerileri ve denetim iĢlevinde –iç ya da dıĢ olması fark etmeksizin- uzmanlık sağlarlar ve finansal ve operasyonel ortamların
teknolojik karmaĢıklığı kadar BT uzmanlığında yeterli bilgi ve beceri seviyesine sahip olup bunu sürdürmek giderek artan bir
gereksinim olmuĢtur. Günümüzün de içinde yer aldığı çağda teknoloji temel iĢ sürükleyici güç ya da anahtar bir sağlayıcı
olarak iĢ süreçlerini, kurumu ve paydaĢları destekleyen bir özelliğe sahip olmuĢtur. Bu noktada bunlar, BS Denetçisine
yönetimin varlıkların korunmasını, veri bütünlüğü, etkinlik ve verimlilik, yeterince iyi gözetip gözetmediğini; Ģirket politikalarına
bağlı kalıp kalmadığını; yasalara ve yasa benzerlerine uygun davranıp davranmadığını irdelemek için gerek duyarlar.
ISACA BS Denetim standartları ve COBIT açıkça, denetim yönetmeliğinde BS Denetçisinin sorumluluk, yetki ve hesap
verebilirliğin yapacağı denetimler açısından belirlenmiĢ olması gereğini vurgular.
Bu bağlamda, BS Denetçilerinin yerine getirmeyi kabul edecekleri görevlerde sorumluluk, yetki ve hesap verebilirliği
tanımlamalarına yardımcı olacak yol gösterici rehberlere gereksinimleri vardır.
Bu rehber, BS Denetim Standartları S1 Denetim Yönetmeliği ve S3 Mesleki Etik ve Standardı uygulamaları için yol
göstericilik sağlar. BS Denetçisi, bu Rehberi yukarıdaki standartların nasıl uygulanacağına karar verirken kullanmalıdır,
uygulama seçiminde mesleki yargılar kullanılmalı ve rehberden herhangi sapmayı gerekçelendirmeye hazır olmalıdır.
Rehber Uygulaması
BS Denetçisi, bu Rehberin uygulanmasında iliĢkili diğer ISACA standart ve Rehberlerini göz önünde bulundurmalıdır.
176
G34 Sorumluluk, Yetki ve Hesap Verebilirlik (Devamı)
2.
2.1.
2.1.1.
2.1.2.
2.1.3.
2.1.4.
2.1.5.
2.1.6.
2.1.7.
2.1.8.
2.1.9.
2.1.10.
2.2
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.2.6
2.2.7
2.2.8
2.2.9
SORUMLULUK
Mesleğe KarĢı
BS Denetçisi, mesleki iĢine yaklaĢımı açık sözlü, dürüst ve içten yaklaĢımlı olmalıdır.
BS Denetçisi, tavır ve görünümüyle denetim yapılan kurumdan bağımsız olmalıdır.
BS Denetçisi, ilgili meslek organınca tanımlanmıĢ meslek etik kurallarına, örneğin ISACA Mesleki Etik Kuralları, bağlı
kalmalıdır.
BS Denetçisi, faaliyetlerini yürürlükteki denetim standartları ve BS Denetim iĢine uygulanabilir genel kabul görmüĢ, örneğin
ISACA Denetim Standartları, Rehberleri ve Usulleri, uygulamalara göre yapmalıdır.
BS Denetçisi, denetim ortamının koĢulları nedeniyle uygunluğun sağlanamadığı durumlarda bu uygunluğun sağlanamama
nedenlerini ve uygunsuzluğun yürürlükteki denetim standartları üzerindeki etkilerini raporunda içermelidir.
BS Denetçisi, her zaman için meslek onurunu yükseltici olmalıdır.
BS Denetçisi, yürürlükteki ilgili yasal düzenlemelere uygun hareket etmelidir.
BS Denetçisi, kabul ettiği görevi yerine getirmek için gereken bilgi, uzmanlık ve tecrübeye sahip olmalıdır.
BS Denetçisi, BS Denetimine atanmıĢ tüm personeli BS Denetimi, kalite güvence ve yürürlükteki standartlarla uyumu
sağlayabilmesi ve personelin geliĢimini kolaylaĢtırabilmesi için gözetiminde bulundurmalıdır.
BS Denetçisi, ulaĢtığı sonuçları ve yaptığı önerileri destekleyen yeterli ve anlamlı destek unsurlarını elde etmeli ve
sunabilmelidir. Bir bilgi sistem ortamı denetiminde, denetim kanıtlarının çoğunluğu elektronik ortamda bulunabilir. BS
Denetçisi, bu türlü unsurların güvenli ve yeterli bir depolama ortamında olduğunun ve gerektiğinde bütünlüğü bozmadan
bunları geri getirebildiğinin makul güvencesini sağlamalıdır.
Denetlenene KarĢı (Kurum)
BS Denetçisi, denetlenenin iĢ amaçlarını, hedeflerini ve misyonunu tanımalı, anlamalı ve özümsemelidir.
BS Denetçisi, denetim yapılanın BS Denetçisinin mesleki gereksinimlerini, bağımsızlığın denetlenen tarafından sağlanması
da dahil olmak üzere anlamalıdır..
Uygun olması halinde, BS Denetçisi ve denetlenen denetim görevinin kapsamı, amaçları ve iĢ tanımı üzerinde karĢılıklı
olarak mutabakata varmalıdır.
BS Denetçisi, iç kontrollerle ilgili yönetimin tutumunu, farkındalığını ve eylemlerinin yeterince anlaĢılmasını ve iç kontrol
çevresinin uygunluğunun öneminin değerlendirilmesini sağlamalıdır.
BS Denetçisi, yapılmakta olan gözden geçirme etkinliğiyle ilgili kontrol risklerinin ön değerlendirmesini yapmalıdır. Denetim
amaçları, bu değerlendirmenin sonuçlarını yansıtmalıdır. BS Denetçisi, kurumun kontrol sistemleri ve kontrol risklerinin
değerlendirmesini anladığını denetim çalıĢma kâğıtlarıyla belgelemelidir.
BS Denetçisi, bütün denetim planını oluĢtururken uygun risk değerlendirme tekniklerini kullanmalıdır. BS Denetçisi, kontrol
risklerinin daha düĢük seviyede değerlendirilmesi durumunda ayrıca ulaĢtığı sonucun temellerini belgelemelidir. BS
Denetçisi, böyle bir durumda kendi kontrol risk değerlendirmesini destekleyecek kontrol testleriyle denetim kanıtı edinmelidir.
BS Denetçisi, daha düĢük kontrol risk değerlendirmesi durumunda daha fazla denetim kanıtı edinerek BS iç kontrol
sistemlerinin uygun tasarlandığını ve etkin iĢlediğini göstermelidir.
BS Denetçisi, kontrol testlerinin sonuçlarına dayanarak iç kontrollerin, kontrol risk değerlendirmesinde öngörüldüğü gibi
tasarlanarak iĢleyip iĢlemediğini değerlendirmelidir. BS Denetçisi, kalıtsal ve kontrol risklerinin değerlendirmesini, denetim
riskini kabul edilebilecek düĢük seviyeye indirmek için gerekli prosedürlerin özelliklerini, zamanlamasını ve kapsamını
belirlenmesinde göz önünde bulundurmalıdır.
BS Denetçisi, denetim süresince elde edilen bağımsız süreçlerini ve diğer denetim kanıtı sonuçlarına dayanan kontrol risk
değerlendirmesini doğrulamalıdır. Önceden tanımlanmıĢ kontrol sistemlerinden sapma durumunda BS Denetçisi yürüteceği
özel araĢtırmalarla bu durumu göz önünde tutmalıdır. Bu türlü araĢtırmalara dayanarak BS Denetçisinin ulaĢtığı sonuçta
kontrol riskleri ön değerlendirmesi desteklenmezse, değerlendirmeyi destekleyen diğer kontrol testlerinden elde edilen
denetim bulguları yoksa denetçi bunu değiĢtirmelidir. BS Denetçisinin kontrol risk değerlendirme seviyesinin değiĢtirilmesi
gerektiği sonucuna ulaĢması durumunda planlanmıĢ somut süreçlerin doğası, zamanlaması ve kapsamı yenilenmek
zorundadır.
BS Denetçisi denetim yönetimiyle görüĢerek görevle ilgili denetim planı, denetim yöntemi, kaynaklar, zaman çerçevesi ve
raporlama gerekleri üstüne hemfikir olmalıdır. Denetim parçaları planlaması denetim çevresinden etkilenebilir, BS Denetçisi
BS faaliyetlerinin önemi ve karmaĢıklığına, belirtilen kontrollerin uygunluğuna, denetim için kullanılacak verinin
kullanılabilirliği ve güvenirliğine dair anlayıĢı edinmelidir. Bu anlayıĢ Ģunları içerebilir:

Bilgi sistemi altyapısı [kurum tarafından kullanılan donanım, iĢletim sistem(ler)i ve uygulama yazılımları, son denetimden
beri olduysa değiĢiklikler]


Her önemli uygulamanın sürecindeki önem ve karmaĢıklık
Kurum BS faaliyetlerinin kurumsal yapısının belirlenmesi ve sürecin kurum içinde yoğunlaĢması veya dağılımı, özellikle
görev dağılımına muhtemel etkileri

2.2.10
2.2.11
Veri kullanılabilirliğinin, kullanılabilir verinin güvenirliğinin, kaynak belgelerin, bilgisayar dosyalarının ve BS Denetçisi
tarafından gerek duyulabilecek diğer denetim unsurlarının belirlenmesi ki bunlar kısa süreliğine ya da sadece makinelerin
okuyabileceği bir biçimde var olabilir. Bilgisayar bilgi sistemleri, materyal testlerin (özellikle çözümleyici süreçler)
yapılmasında faydalı olabilecek raporlar üretebilir.
BS Denetçisi, denetimi gerekli özen ve mesleki dikkati göstererek yapmalıdır.
BS Denetçisi, atandığı iĢi gerçekleĢtirmek için anahtar niteliğindeki bilgi teknolojisinin risklerine ve kontrollerine ve bilgisayar
destekli denetim araçları ve diğer veri analiz tekniklerine dair bilgiye sahip olmalıdır. Denetimler, uzmanlık ve mesleki dikkat
çerçevesinde gerçekleĢtirilmelidir. Denetim takımı bütün olarak, sorumluluklarını yerine getirmek için gerekli olan bilgi, beceri
ve diğer yeterliliklere sahip olmalıdırlar.
177
G34 Sorumluluk, Yetki ve Hesap Verebilirlik (DEVAMI)
2.2.12
2.2.13
2.2.14
2.2.15
2.2.16
2.2.17
2.2.18
2.2.19
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.4
2.4.1
2.4.2
2.4.3
2.4.4
2.5
2.5.1
2.5.2
2.5.3
3.
3.1.
3.1.1.
3.1.2.
3.1.3.
3.1.4.
BS Denetçisi, denetmenin dikkatine takılan, iç kontrol sistemlerinin tasarım ya da iĢletimindeki önemli bir zayıflığı ilgili
sorumlu seviyeye uygun biçimde ileterek yönetimi durumdan haberdar etmelidir.
BS Denetçisi, üst yönetimin kalıntı bir riski, kurum açısından kabul edilemeyeceğine inanırsa, durumu üst yöneticilerle
görüĢmelidir. BS Denetçisi, kalıntı riske dair çözüm üretilmezse konunun çözülmesi amacıyla yönetim kuruluna raporlamayı
düĢünmelidir..
BS Denetçisi, görevini yerine getirirken edindiği bilgilerin gizliliğine saygı göstermeli ve bu tür bilgiyi özel olarak alınmıĢ bir
yetki yoksa veya yasal ya da mesleki zorunlulukların olmaması durumunda üçüncü taraflara açıklamamalıdır. Gizlilik
gerekliliği, denetim görevi bittikten ya da denetleyen ve denetlenen arasındaki iliĢki yok edildikten sonra bile sürer.
BS Denetçisi, denetlenenle uygun bir iletiĢim kanalını sürekli olarak açık tutmalıdır. ĠletiĢim, doğru, tarafsız, açık, net, yapıcı,
tam ve zamanında olmalıdır. Denetim sonuçları uygun taraflara ya da yetkililere sunulmalıdır.
Denetimin bitmesiyle birlikte BS Denetçisi uygun biçimde bir raporu iletmelidir. Rapor, eğer varsa sonuçların dağıtılması ve
kullanılmasıyla ilgili kısıtları içermelidir. Rapor kurumu, niyet edilen alıcıları ve dolaĢım kısıtlamalarını tanımlamalıdır. BS
Denetçisi bağlı olduğu denetim kurumunun raporlama standartlarını, politikalarını ve usullerini kullanmalıdır.
BS Denetçisi, tavır ve davranıĢlarıyla denetlenenden bağımsız bir duruĢ sergilemelidir. BS Denetçisinin rolü, kurumun BS/iç
politikalarının, uygulamalarının ve usullerinin yeterli kontrolleri sağlayarak kurumun misyonunu baĢarıyla gerçekleĢtirmeye
yeterli olup olmadığını denetlemektir. BS Denetçisi denetlenen kurumun bir parçası olsa dahi BS Denetçisinin
bağımsızlığının sürdürülmesi gerekli ve önemlidir.
BS Denetçisinin kurumun kontrol çerçevesinin bir parçası olduğu durumlarda denetçi, gözden geçirilen kurumun BS/iç
kontrollerin uygulanmasından sorumlu takımın bir parçası olmamasının makul güvencesini sağlamalıdır.
BS Denetçisi, uygun olan ve iĢ anlaĢmasının gerektirdiği biçimde davranmalıdır. BS Denetçisi gerekirse, yönetim
faaliyetlerinin etkin uygulandığını ya da kıdemli yöneticilerin etkin olmama risklerini göz aldığını belirleyecek ve denetim
sonrası izleme sürecini gerçekleĢtirmesi zorunludur.
PaydaĢlara KarĢı
BS Denetçisi, mesleğin saygınlığını zedelemeyecek, iĢin yüksek standartlarını koruyacak biçimde yasal ve dürüst bir biçimde
paydaĢların çıkarına hizmet eder.
BS Denetçisi, paydaĢların çıkarlarına doğrudan etkisi olan her maddi olay ya da vakayı açıklamak zorundadır.
BS Denetçisi, denetim altındaki alana ait gerçek ve doğru olayları, görev amaç ve kapsamı bağlamında açıklamalıdır.
BS Denetçisi raporunda yanıltıcı, muğlâk ya da yorumlanabilir nitelikte bildirimlerde bulunmamalıdır.
BS Denetçisi, denetim sırasında bağımsızlığına bir müdahalede bulunulursa, bu durumu açıklamalıdır.
Yasa ve Düzenleyicilere KarĢı
BS Denetçisi, yürürlükteki ilgili yasa, tüzük ve yönetmelikleri bir dikkate almalıdır.
BS Denetçisi, yürürlükteki ilgili yasa, tüzük, yönetmeliklere ve sözleĢmelere uygunluğu gözetmeli, gerekirse hukuki destek
almalıdır.
BS Denetçisi, yasaların zorunlu kıldığı bilgileri açıklamalı, uygun durumlarda denetlenenin de rızasını almalıdır.
BS Denetçisi, denetimi görevinin yürütülmesi sırasında lisanslı araçlar ve yazılımlar kullanmalıdır.
Topluma KarĢı
BS Denetçisi, toplumun ve denetlenenlerin BS güvenliği, kontrol, risk değerlendirmesi ve yönetimi, BS varlıklarının
korunması konularında eğitilmelerini desteklemelidir.
BS Denetçisi, toplumun ve denetlenenlerin teknoloji kullanımı ve muhtemel kötüye kullanımı, kontrol modelleri, kontrol
amaçları, genelde kabul görmüĢ kontrol uygulamaları, izleme ve güvence yöntemleri konularında eğitilmelerini
desteklemelidir.
BS Denetçisi, toplumun ve denetlenenlerin teknoloji yardımıyla gerçekleĢtirilen iĢlemlerde alınan önlemler ve önleyici
tedbirler konularında eğitilmelerini desteklemelidir.
YETKĠ
BS Denetçisinin Hakları
BS Denetçisi, denetimin iĢ tanımını, kapsam ve amacı netleĢtiren bir görevlendirme yazısı ya da denetim sözleĢmesine sahip
olma hakkına sahiptir.
BS Denetçisi, denetimi etkin ve verimli tamamlamak için gerekli uygun bilgi ve kaynaklara eriĢim hakkına sahiptir.
BS Denetçisince yapılan testler ve değerlendirmeler aksini kanıtlamıyorsa, BS Denetçisinin yönetimin sahtekârlıkları
önleyecek, caydıracak ve tespit edecek uygun kontrolleri kurduğuna inanma hakkı vardır.
BS Denetçisi, denetimin tarafsız olarak tamamlanmasına izin verecek bilgi ve açıklamaları uygun ve gerekli olması
durumunda isteme hakkı vardır.
178
G34 Sorumluluk, Yetki ve Hesap Verebilirlik
3.1.5.
BS Denetçisi, denetim boyunca edindiği çalıĢma dosyalarını, belgeleri ve denetim kanıtlarını alıkoyma ve bunları ulaĢtığı
sonuçları desteklemek amacıyla ve sorun ya da çeliĢkilerin yaĢanması durumunda referans olarak kullanma hakkı vardır.
3.2.
3.2.1.
Kısıtlamalar
BS Denetçisi, sahtekârlık göstergelerini tanımlamaya yeterli bilgiye sahip olmalıdır, ancak kendisinden temel sorumluluğu
sahtekârlığı tespit etmekten ve soruĢturmaktan sorumlu kiĢi olma uzmanlığına sahip olması beklenemez.
BS Denetçisi, zorunlu mesleki dikkat, özen ve uzmanlığı makul seviyede gösterebilmelidir. Ancak, mesleki dikkat mutlak
yanılmazlık anlamına gelmemektedir.
BS Denetçisi ,amaç, operasyon ve kaynakları etkileyebilecek önemli risklere karĢı uyarılmalıdır.Ancak, sadece süreçlerin
güvencesini sağlamak tam mesleki dikkatin gösterilmesi durumunda dahi, bütün önemli risklerin tanımlandığı anlamına
gelmez.
BS Denetçisi, gerekli bilgiyi edinemediği, kaynaklara eriĢimin kısıtlandığı ya da iĢlevini yerine getirmesine dair bir sorun
yaĢanması durumlarında kaygılarını daha kıdemli yönetim unsurlarıyla paylaĢmalıdır. BS Denetçisi, denetimi uzmanlığa
uygun yollarla gerçekleĢtirmelidir.
BS Denetçisi, dıĢarıdan bir uzamanın hizmetlerinden yararlandığı durumda, bu uzmanın yaptığı iĢin yeterliliğini ve
faydalılığını değerlendirmeli ve bu uzmanın bulgularını test ederek doğrulamalıdır.
BS Denetçisi, düzeltici faaliyetlerin uygulanmasından sorumlu değildir.
3.2.2.
3.2.3.
3.2.4.
3.2.5.
3.2.6.
4.
4.1.
4.1.1.
4.1.2.
4.1.3.
4.1.4.
4.1.5.
4.1.5.
4.2.
4.2.1.
4.2.2.
4.3.
4.3.1.
4.3.2.
4.3.3.
4.3.4.
HESAP VEREBĠLĠRLĠK
Mesleki Hesap Verebilirlik
Geleneksel anlamıyla ve günlük konuĢmalardaki yorum itibarıyla hesap verebilirlik, bir kusurun belirlenmesi ve bundan dolayı
yaptırımın devreye girmesi sürecidir. Mesleki anlamda bu, olumlu – baĢarıların ve idareciliğin gösterilebilme fırsatı bir teĢvik
olarak görülmelidir. Bu anlamda hesap verebilirlik, iĢin sahibi ile iĢi yapmakta sorumluluk sahibi olanların etkin iliĢkiler
kurmanın ayrılmaz ve kaçınılmaz bir parçasıdır.
BS Denetçisinin açık rolü ve iliĢkileri, aldığı göreve ve kurumsal farklılıklara göre değiĢir. Bu nedenle, görevin kime hizmet
ettiği ve görev amacının ne olduğunun net olması önemlidir. Denetçinin önemli üçüncü taraflarla iliĢkileri, denetlenenle
hazırlanan görevlendirme yazısında tanımlanmalı ve kayıt altına alınmalıdır..
BS Denetçisinin kurum yönetiminde bağımsız ve tarafsız kalması ilkesel olarak genel olarak kabul edilmiĢtir. Kurul ya da
yönetim genellikle kontroller ve diğer konularda daha büyük bir güvence arar. Yeterli iç kontrol yapısını kurmak ve
sürdürmek, yönetimin sorumluluğudur. BS Denetçisi, bu koĢullarda sunulan raporların güvenirliğinden sorumludur.
Hesap verebilirlik, gerekli mesleki özenle, geleceğe dönük yaklaĢımla, verilen hizmetlerde Ģeffaflıkla ve ilgili-kaygılı gruplara
raporlamayla güvenilir ve zamanında bilgi sağlanmasıyla oluĢturulabilir.
Hesap verebilirlik, performansa dair açıkça ve dolaylı olarak kabul edilen beklentilere karĢı bir sorumluluktur.
BS Denetçisi, meslekten kaynaklanan görevini yerine getirirken edindiği bilgileri kurum dıĢından birilerine açıklamamaya
dikkat etmeli, bu noktada eğer yürürlükteki yasal düzenlemelerin aksi bir durumu gerektirmemesi durumunda mutlaka
kurumun rızasını almalıdır. BS Denetçisi, denetlenen kuruma uygulanabilir olan değiĢik yasal düzenlemeleri her zaman göz
önünde tutmalı ve bilginin açıklanmamasıyla ilgili makul güvenceyi sağlamalıdır.
Mesleki Ġhmalkârlık
BS Denetçisi, genel kabul gören denetim uygulamalarına dayanarak elde ettiği ilgili denetim kanıtları ve yeterli ve ilgili bilgi
olmaksızın görüĢlerini dile getirmemelidir.
BS Denetçisi, denetim görevini gerçekleĢtirmekteyken dikkatini çeken ve usul, politika ve uygunluklardan farklı bir maddi
duruma rastlaması durumunda uygun tarafları ya da yetkilileri bir raporla haberdar etmelidir.
Kısıtlamalar
BS Denetçisi, bağımsızlığının zayıflatılacağı ya da bunun olabileceği algısına sahip olursa görevi kabul etmemelidir. Örneğin,
BS Denetçisi denetlenen kurumdan bir yararlanma hakkı elde etmekteyse ya da denetlenenden bağımsız değilse görevi
kesinlikle kabul etmemelidir. Yararlanma hakkı göstergeleri, denetlenen kuruma maddi borçluluk ya da bu kuruma yapılmıĢ
yatırım olabilir.
BS Denetçisi, yetkisiz kiĢi ve Ģirketlere denetim iĢini kendi adına yapma iznini kesinlikle vermemelidir.
BS Denetçisi, adil olmayan yollarla iĢ almaya çalıĢmamalı ya da bir denetim iĢi almak için aracılık yapmak, komisyon ödemek
gibi yollara baĢvurmamalıdır.
BS Denetçisi, hizmet ve baĢarılarının reklâmını yapmamalıdır. Kendilerini ve mesleki hizmetlerini duyururken BS Denetçileri
Ģunlara dikkat etmelidir:
•
•
•
4.3.5.
5.
Meslek saygınlığına zarar verecek araçlar kullanılmamalıdır
Verilen hizmete, sahip olunan niteliklere ve deneyime dair abartılı bildirimlerde bulunulmamalıdır
Diğer BS Denetçilerinin iĢlerine iftira atmamalıdır.
BS Denetçisi, etik olmayan araçlarla iĢ almaya çalıĢmamalıdır.
YÜRÜRLÜK TARĠHĠ
5.1.
Bu rehber 1 Mart 2006 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinin www.isaca.org/glossary adresinde bulunabilir.
179
G35 Denetim Sonrası Ġzleme Faaliyetleri
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S8 Denetim sonrası izleme faaliyeti Standardı:‖Bulguların ve önerilerin raporlanmasından sonra, BS Denetçisi
yönetim tarafından zamanında ve uygun bir Ģekilde harekete geçilip geçilmediğini belirlemek için ilgili bilgileri
istemeli ve değerlendirmelidir.‖ Ģeklinde ifade eder.
1.2
1.2.1
COBIT Bağlantısı
Yüksek seviye kontrol amacı M3 (Bağımsızlık Güvencesi Edinimi) ,―…Kurumlar, müĢteriler ve üçüncü taraf sağlayıcılar
arasında artan güvenin artıracak bağımsız güvenceyi sağlarken‖. Ģeklinde ifade eder.
Yüksek seviye kontrol amacı M4 (Bağımsız Denetimin Sağlanması) demektedir ki ―…güven seviyelerini ve en iyi uygulama
önerilerini artırmak için bağımsız denetimin sağlanması‖.Ģeklinde ifade eder.
Ayrıntılı kontrol amacı M4.8 (Ġzleme Faaliyetleri), ―Denetim yorumlarına uyulması ,yönetime kalır.. Denetçiler, uygun
eylemlerin zamanında uygulanıp uygulanmadığını belirlemek için daha önceki denetimlerin bulguları, sonuçları ve önerileri
konusunda yeterli bilgiye istemeli ve değerlendirmelidir. Ģeklinde ifade eder.
1.2.2
1.2.3
1.3
1.3.1
1.3.2
1.3.3
1.4
1.3.2
1.3.3
COBIT Referansı
Belli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, seçilen belli COBIT BT süreçleri ve, COBIT
kontrol hedeflerinin ve iliĢki yönetim uygulamalarının dikkate alınması temeline dayanır. Sorumluluğun yerine getirilebilmesi
için BS Denetçisinin yetki ve Ģeffaflık gereksinimleri, seçilen ve uyarlanan en ilgili COBIT süreci aĢağıda birincil ve ikincil
olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol ve süreç hedefleri, özel görevlendirme kapsam ve Ģartlarına bağlı
olarak değiĢiklik gösterebilir.
Birincil:
•
•
M3—Bağımsızlık güvencesi edinimi
•
•
Birincil: Etkinlik, etkililik, gizlilik, bütünlük ve uygunluk
Ġkincil: EriĢebilirlik ve güvenirlik
M4—Bağımsız denetimin sağlanması
Yeterlilikle en iliĢkili bilgi kıstasları :
Rehberin Amacı
Bu Rehberin amacı, raporlarda yapılan önerilerin ve denetim yorumlarının denetim sonrası izlemesini yapacak olan BS
Denetçilerinin yönlendirilmesini sağlamaktır.
Bu rehber, BS Denetim Standardı S8 Denetim Sonrası Ġzleme Faaliyeti Standardı uygulamasında yol göstericilik sağlar.
1.5
1.5.1
Rehber Uygulaması
BS Denetçisi, bu rehber uygulanırken, bu rehber ile diğer ilgili ISACA standartları ve Rehberlerinın rehberliğini dikkate
almalıdır.
2
DENETĠM SONRASI ĠZLEME FAALĠYETLERĠ
2.1
Tanım
BS Denetçilerinin denetim sonrası izleme faaliyeti,, ―DıĢ denetçiler ve diğerleri tarafından da yapılanlar dahil olmak
üzere, raporlanan öneri ve gözlemlerin sonucunda yönetim tarafından yapılan faaliyetlerin yeterliğini, etkililiğini ve
zamanındalığını değerlendiren bir süreçtir‖. Ģeklinde tanımlanabilir. Denetim sonrası izleme süreci,, BS Denetçilerinin
yaptığı gözden geçirmelerin sonuçlarının kurumun yönetiminin sorumluluğunda uygulanması ya da yönetimin önerilen
çıktıları hayata geçirmede gecikmesinin veya hiç uygulamamasının kalıtsal risklerini bilmesini ve anlamasının sağlaması
ihtiyacına makul bir güvence sağlanmasına yardımcı olmak için oluĢturulmuĢtur.
2.2
2.2.1
Önerilen Yönetim Eylemleri
BS Denetçisi, sözleĢme yapılan kurum ile BS Denetçisinin görüĢmelerin bir parçası olarak gerekli ise görevin sonuçları ve
faaliyetlerin geliĢtirilmesi konusunda eylem planları konusunda anlaĢma sağlamalıdır.
Yönetim, önerilen her eylemin ne zaman tamamlanacağacına tarihi konusunda bir uygulama/etkinlik tarihi vermelidir.
Yönetim, önerilen eylemleri ya da raporlanmıĢ önerileri uygulamak için denetim yorumlarını BS Denetçisi ile görüĢtüğü veya
ona bildirdiği zaman, bu faaliyetler, nihai raporda taahhüt edilen uygulama tarihe yönetimin cevabı olarak kayıt altına
alınmalıdır.
BS Denetçisi ile sözleĢme yapılan kurum arasında belli bir öneri ya da denetim yorumu hakkında bir mutabakatsızlık var ise,
bildirim metninde, her iki durum ve anlaĢmazlığın nedenleri belirtilebilir. Kurumun görüĢleri, yazılı olarak görevlendirme
sonucunda yazılan rapora ek Ģeklinde yer almalıdır. Bir baĢka muhtemellık da kurumun görüĢlerini raporun bir parçası olarak
ya da bir kapalı mektup zarfı içinde seçenek olarak sunulabilir. Üst yöneticiler de (varsa denetim komitesi) hangi görüĢü
destekleyeceklerine sonra karar verebilirler. BS Denetçisinin, üst yönetimin (ya da denetim komitesi) bir konuda kurumun
görüĢlerini geçerli kabul ederse bu konudaki özel öneriler, eğer gözlemin önemi ve etki seviyesini BS çevresindeki bir
değiĢiklik dolayısıyla değiĢmemiĢse (bkz. Bölüm 2.4.3), denetim sonrası izleme faaliyetini takip etmesi gerekmez.
2.2.2
2.2.3
2.2.4
180
G35 Denetim Sonrası Ġzleme Faaliyetleri (Devamı)
2.2.5
Örneğin uygulama sistemleri ön uygulama gözden geçirmesi gibi bazı gözden geçirmeler esnasında, , bulgular proje
takımına ve/veya yönetime sürekli olarak düzenli aralıklarla sorun bildirimi Ģeklinde raporlanabilir. Bu durumlarda, sorunu
çözmek için eylemler, sürekli olarak izlenmelidir. Sorun bildirimi önerileri uygulanırsa, nihai raporda öneriyle ilgili olarak
―TAMAMLANDI‖ ya da ―UYGULANDI‖ kayıtları düĢülebilir. ―Tamamlanan‖ ya da ―uygulanan‖ öneriler [kesinlikle]
raporlanmalıdır.
2.3
2.3.1
Denetim Sonrası Ġzleme Usulleri
Ġzleme faaliyetleri için usuller belirlenmeli ve aĢağıdakileri içermelidir:
•
•
•
•
•
•
2.3.2
2.3.3
Üzerinde hemfikir olunan önerilere dair yönetimin taahhüt ettiği zaman çerçevesinin kaydedilmesi,
Yönetim müdahalesinin değerlendirmesi
DüĢüncenin uygun olması durumunda müdahalenin doğrulanması (bkz. bölüm 2.7)
Uygun olması durumunda çalıĢmaların izlenmesi
Uygun yönetim uygun seviyesine yarım kalmıĢ ve yetersiz müdahaleler/faaliyetlerin bildirim usulleri
Yönetimin ilgili risklerle ilgili varsayımına makul güvence sağlama süreci, iyileĢtirici hareketin gecikmesi veya
uygulanmasının amaçlanmaması durumunda
Otomatik denetim sonrası izleme sistemi veya veritabanı izleme faaliyetlerinin gerçekleĢtirilmesine yardımcı olabilir:
Uygun denetim sonrası izleme usullerinin belirlenmesinde göz önünde tutulması gereken etmenler:
•
•
•
•
•
•
2.3.4
2.4
2.4.1
2.4.2
2.4.3
2.4.4
2.5
2.5.1
2.5.2
2.6
2.6.1
2.6.2
2.7
2.7.1
2.7.2
2.7.3
BS Denetim ortamında raporlanan gözlemin önemini etkileyebilecek değiĢiklikler
RaporlanmıĢ bulgu ya da önerinin önemi
Düzeltici hareketin baĢarısız olması durumunda ortaya çıkabilecek etki
RaporlanmıĢ sorunların düzeltilmesi için gerekli maliyet ve çabanın derecesi
Düzeltici eylemin karmaĢıklığı
Gerekli zaman süresi
BS Denetçisi, iç denetim ortamında çalıĢıyorsa, izleme sorumluluğu, iç denetim faaliyetleri yönetmeliğinde yazılmıĢ
olarak tanımlanmalıdır.
Denetim Sonrası Faaliyetlerinin Zamanlanması ve Planlanması
Denetim sonrası izleme faaliyetlerinin özellikleri, zamanlaması ve kapsamı raporlanmıĢ bulguların önemini ve düzeltici
faaliyetler yerine getirilmez ise bunun etkileri dikkate alınmalıdır. Asıl raporlamayla ilgili olarak BS Denetimi izleme
faaliyetlerinin zamanlaması dikkate alınması gerekenlerin çokluğuna bağlı olarak mesleki yargı meselesidir, ilgili risklerin
özellikleri veya büyüklüğü ve kuruma maliyeti gibi.
Üzerinde fikir birliği sağlanmıĢ yüksek riskli sorunların çıktıları, eylemlerin yerine getirilmesi tarihinden hemen sonra
izlenmeye baĢlanmalı ve sürekli izlenmelidir.
BS Denetim sürecinin tamamlayıcı parçalarından birisi olması nedeniyle, izleme faaliyetleri her gözden geçirme için gerekli
olan diğer adımlarla uyumlu bir Ģekilde planlanmalıdır. Belirli izleme faaliyetleri ve bu tür faaliyetlerin zamanlaması gözden
geçirme sonuçlarından etkilenebilir ve zamanlama yatay yönetimle karĢılıklı danıĢılarak da belirlenebilir.
Özel bir raporda, yönetimin tüm düzeltme faaliyetleri, uygulama tarihleri ve iĢlevsel yönetim birimi farklı olsa bile birlikte
izlenebilir. Diğer bir yaklaĢım, yönetim ile karar üzerinde anlaĢılan tarihlerle ilgili olarak müdahaleleri yönetimin kendisinin
izlemesidir.
Denetim Sonrası Ġzleme Faaliyetlerinin Ertelenmesi
BS Denetçisi, geliĢtirilen görevlendirme çalıĢma planının bir parçası olarak izleme faaliyetlerini de planlamaktan sorumludur.
Denetim sonrası izleme faaliyetlerinin zamanlaması, risklere, açıklara ve uygulanacak düzeltici davranıĢın zamanlamasının
önem ve zorluğu temelinde yapılır.
Bunun yanı sıra, BS Denetçisinin, ilgili görev gözlem ve önerilerin önemi düĢünüldüğünde yönetimin sözlü ya da yazılı olarak
yeterli müdahaleyi sergilendiğine dair bildirimini yargıladığı durumlar da olabilir. Bu durumlarda, eylemlerin uygulama sonrası
izlemesinin doğrulaması, ilgili sistem ya da sorunun üstesinden gelmek üzere tasarlanan bir sonraki görevlendirmenin bir
parçası olarak gerçekleĢtirilebilir.
Denetim Sonrası Ġzleme Faaliyetlerinin Biçimleri
Yönetimden izleme tepkisi almanın en etkili yolu yönetimin elde edilen ilerleme ve izleme davranıĢlarına dair sorumluluğunu
doğrulayan ve zorlayan yazılı bildirimi kullanmaktır. Ayrıca, yazılı müdahaleler faaliyetlerin, , sorumlulukların ve hâlihazırdaki
durumun hassas biçimde kaydına imkan sağlar. BS Denetçisine verilen sözlü cevaplarda kayıt altına alınır ve mümkün ise
yönetimce doğrulanır. Eylemlerin, kanıtları ya da önerilerin uygulanması ayrıca yanıtlanmasıyla da sağlanabilir.
BS Denetçisi yönetimde, yönetimin üzerinde anlaĢmaya varılmıĢ olan özellikle yüksek riskli sorunlarda ve uzun vadedeki
iyileĢtirici faaliyetler noktasında sağladığı ilerlemeleri değerlendirmek için düzenli güncellemeler sağlamasını isteyebilir.
Denetim Sonrası Ġzleme Faaliyetlerinin Özellikleri ve Kapsamı
BS Denetçisi, normalde izleme faaliyetleriyle ilgili gelinen duruma dair bilgiyi kabul edilmiĢ olan bir kısım ya da bütün
faaliyetlerin uygulama tarihi geçtikten hemen sonra ister. Bu durum, nihai raporun yeniden biçimlendirilerek kuruma önerilerin
uygulanması için atılan adımları belgeleyeceği bir alan vermeyi gerektirebilir.
Kuruma, normal olarak önerilerin uygulanması için yerine getirilecek faaliyetlere ayrıntılarıyla müdahale için belirli bir zaman
çerçevesi verilir.
Atılan adımları ayrıntılandıran yönetim müdahaleleri, mümkün ise asıl gözden geçirmeyi gerçekleĢtiren BS Denetçisince
değerlendirilmelidir. Uygun olan yerlerde yerine getirilen faaliyetlerin denetim kanıtları, edinilmelidir. Örneğin, süreçler
belgelenmeli ya da belli kesin bir yönetim raporu hazırlanmalıdır.
181
G35 Denetim Sonrası Ġzleme Faaliyetleri (Devamı)
2.7.4
2.7.5
2.7.6
2.7.7
2.8
2.8.1
2.8.2
2.8.3
2.9
2.9.1
2.9.2
Yönetimin, önerilerin uygulanması için atılan adımlara dair bilgi sağladığı yerlerde BS Denetçisi atılan adımlarla ya da bu
adımların etkililiğiyle ilgili bir Ģüpheye sahip olursa, gerçek durumu tespit etmek ya da izleme faaliyetlerini bitirmeden önceki
durumu doğrulamak için uygun testler ya da diğer denetim süreçleri devreye sokulur.
BS Denetçisi, izleme faaliyetlerinin bir parçası olarak uygulanmayan bulguların hala ilgili ya da daha büyük bir öneme sahip
olup olmadığını değerlendirmelidir. BS Denetçisi, belli bir önerinin uygulanmasının bir öneminin kalmadığına karar
verebilir. Uygulama sistemlerinin değiĢtiği, denge kontrollerinin uygulandığı ya da iĢ amaç ve önceliklerinin değiĢtiği ve asıl
riski önemli ölçüde azalttığı ya da bitirdiği durumlarda bu kararı verilebilir. Aynı biçimde, BS ortamındaki bir değiĢiklik
önceden gözlemlenmiĢ bir etkinin önemini artırabilir ve çözüm zorunluluğu gerektirebilir.
Ġzleme görevlendirmesi, kritik öneme sahip faaliyetlerin uygulanmasını doğrulayacak biçimde planlanabilir.
BS Denetçisinin, yönetimin müdahaleleri ve faaliyetlerinin yetersiz olduğu fikrinde ise uygun seviyedeki yönetim birimine
iletmelidir.
Risklerin Yönetim Tarafından Kabulü
Yönetim, raporlanmıĢ görev gözlem ve öneriler konusunda atılacak uygun eylere karar vermekten sorumludur. BS Denetçisi,
görevlendirmenin gözlemleri ve önerileri ile raporundaki sorunların çözümü için yönetimin eylemlerinin uygunluğunun ve
zamanındalığının değerlendirmesinden sorumludur.
Üst yönetim, maliyet veya diğer gerekçelerle raporlanmıĢ koĢulun düzeltilmemesinden kaynaklanabilecek riskleri kabul
etmeye karar verebilir. Kurul (ya da varsa denetim kurulu), önemli görev gözlem ve önerileri hakkındaki tüm üst yönetim
kararları konusunda bilgilendirilmelidir.
BS Denetçisi, kurumunun, kabul edilmesi uygun olmayan bir artık riski kabul ettiğini düĢünürse, durumu iç denetim ve üst
yönetim ile paylaĢmalıdır. BS Denetçisi, artık risk konusunda verilen karara katılmıyorsa, BS Denetçisi ve üst yönetim
durumu çözüm için kurula (ya da varsa denetim kuruluna) taĢımalıdır.
Ġç BS Ġç Denetçisince DıĢ Denetim Sonrası Ġzleme Faaliyeti
Sürekli olarak iç denetim faaliyetlerinin denetim sonrası izleme sorumluluğu, Ġç BS Denetim biriminin yönetmeliğinde ve diğer
denetim görevlendirmelerinde görevlendirme yazısında belirlenmelidir.
DıĢ BS Denetçileri, görevlendirmenin kapsam ve koĢullarına ve BS Denetim Standartlarına uygun Ģekilde, üzerinde
anlaĢılmıĢ önerileri izlemek için Ġç BS Denetim Birimine güvenebilirler.
3
DANIġMANLIK
3.1
3.1.1
DanıĢmanlık Türü Görevlendirmeler
DanıĢmanlık türü görevlendirme ya da hizmetler Ģöylece tanımlanabilir, ―DanıĢmanlık ve ilgili müĢteri hizmet faaliyetleri,
müĢteri ile birlikte kabul edilen kapsam ve doğa ve kurum operasyonlarını geliĢtirme ve bunlara bir değer katmak. Örnekler,
hukuki danıĢmanlık, öneri, kolaylaĢtırma, süreç tasarımı ve yetiĢtirmeyi kapsar.‖2 SözleĢme baĢlamadan önce sözleĢmenin
özellikleri ve kapsamı üzerinde anlaĢmaya varılmalıdır.
BS Denetçisi, kurumla üzerinde anlaĢılmıĢ kapsam konusunda danıĢmanlık görevlendirmesi sonuçlarını izlemelidir. Ġzleme
türleri, farklı türdeki danıĢmanlık görevlendirmeleri için uygun olabilir. Ġzleme çabaları, yönetimin görevlendirme çıktılarından
açık çıkarlarına ya BS Denetçisinin proje riskleri değerlendirmesine ve/veya sözleĢmeyle tanımlanan kuruma potansiyel
katma faktörlerine bağlı olabilir.
3.1.2
4
RAPORLAMA
4.1
4.1.1
Denetim Sonrası Ġzleme Faaliyetlerinin Raporlaması
BS Denetim raporundan çıkan üzerinde anlaĢılmıĢ iyileĢtirici eylemlerin durumu ve üzerinde anlaĢılan ve uygulanmamıĢ
önerileri de içeren dair rapor, bir adet hazırlanmıĢ ise denetim kuruluna ya da uygun seviyedeki kurum yönetimine
sunulmalıdır.
BS Denetçisi, eğer bir sonraki görevlendirme esnasında yönetimin ―YAPILDIĞINI‖ söylediği bir uygulamanın gerçekte
uygulanmadığını fark ederse, durum üst yönetime ya da var ise denetim komitesine bildirilmelidir.
Bütün iyileĢtirici uygulamalar gerçekleĢtirildiğinde, uygulanan/tamamlanan bütün davranıĢlar üst yönetime (varsa denetim
kuruluna) iletilir.
4.1.2
4.1.3
5
5.1
2
YÜRÜRLÜK TARĠHĠ
Bu rehber 1 Mart 2006 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinin www.isaca.org/glossary adresinde bulunabilir.
Profesyonel Ġç Denetim uygulaması Uluslar arası Standartları, Sözlükçe, IIA
182
G36 Biyometrik Kontroller
1.
1.1.
1.1.1.
1.1.2.
1.2.
1.2.1.
ARKAPLAN
Standartlarla Bağlantı
S6 Denetim ĠĢinin Yürütülmesi Standardı: BS Denetim Kadrosu, denetim hedeflerinin baĢarıldığının ve yürürlükteki
mesleki denetim standartlarının karĢılandığının makul güvencesini sağlamak amacıyla denetimin iĢinin
yürütülmesi esnasında gözden geçirilmelidir. Denetim süreci boyunca BS Denetçisi, denetim hedeflerini
baĢarmak için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar,
bu kanıtların uygun analizi ve yorumuyla desteklenmelidir‖ Ģeklinde ifade eder.
S10 YönetiĢim Standardı:‖BS Denetçisi, BS iĢlevlerinin kurumun misyonu, vizyonu, değerleri, hedef ve
stratejileriyle uyumlu olup olmadığını gözden geçirmeli ve değerlendirmelidir… BS Denetçisi, BS kaynaklarının
ve performans yönetim sürecinin etkililiğini denetimli ve değerlendirmelidir.‖ Ģeklinde ifade eder.
COBIT Bağlantısı
AI1 OTOMATĠK ÇÖZÜM TANIMLAMALARI kontrol süreci ―BT için iĢ gereksinimlerini iĢ iĢlevselliğini ve kontrol
gereksinimlerini, teknik açıdan olabilir ve etkin maliyetli çözümleri tanımlamaya odaklanarak etkili ve etkin otomatik çözüm
tasarımlarına çevirip gerekleri tatmin eden kendiliğinden çözümleri tanımlayan BT süreçleri üzerinde kontrol aĢağıdakilerle
sağlanır:
• ĠĢ ve teknik gereksinimlerin tanımlanması
•
•
GeliĢme standartlarında tanımlanan biçimiyle olabilirlik çalıĢmalarının yapılması
Gereklilik ve olabilirlik çalıĢmalarının sonuçlarının onaylanması (veya reddedilmesi)
Ve ölçümler için:
•
•
•
1.2.2.
Doğru olmayan olabilirlik çalıĢmaları dolayısıyla tamamlanmadığına inanılan projelerin sayısı
ĠĢ süreci sahibi tarafından listeden çıkarılan olabilirlik çalıĢmalarının oranı
Sağlanan iĢlevsellikten memnun olan kullanıcıların sayısı‖
AI3 TEKNOLOJĠ ALTYAPISININ EDĠNĠMĠ VE SÜRDÜRÜMÜ kontrol süreci, , ―Tanımlı BT yapısı ve teknoloji standardı ile
paralel olan iĢ uygulamaları için uygun platformları sağlamaya odaklanan bütünleĢik ve standardize BT altyapısının edinilip
sürdürülmesini sağlayarak iĢ gereksinimlerini karĢılayan teknoloji altyapısını edinip sürdüren BT süreci üzerinde kontrolü
baĢarmak için:
• Teknoloji altyapı planıyla uyumlu bir teknoloji edinme planı üretmek
•
•
Altyapı sürdürüm planlaması
Ġç kontrollerin uygulanması, güvenlik ve denetlenme önlemlerinin uygulanması
Ve ölçümler için:
•
•
•
1.2.3.
Tanımlanan BT mimarisiyle ve teknoloji standartlarıyla uyumlu olmayan düzeltmelerin oranı
ĠĢlerliği geçmiĢ ya da geçmek üzere olan altyapı tarafından desteklenen kritik iĢ süreçlerinin sayısı
ġimdi ya da gelecekte (yakın gelecekte değil) desteklenebilir olmayan/olmayacak altyapı unsurlarının sayısı‖
AI5 BT KAYNAKLARININ SAĞLANMASI KONTROL SÜRECĠ ―BT tedarik risklerini azaltmak ve bütünleĢik ve standardize
bir BT altyapısının teslim edilmesi stratejisine denk gelen BT becerilerinin edinilmesi ve sürdürülmesine odaklanarak etkin
maliyet geliĢtirip iĢ kârlılığına katkıda bulunan BT geliĢtirme iĢ gerekliliğini karĢılayan BT kaynakları edinimini içeren BT
süreçleri üzerinde kontrol aĢağıdakilerle sağlanır:
• Uzmanlardan yasal ve sözleĢme temelli öneri almak
• Satın alma usul ve standartlarının tanımlanması
•
Ġstenilen donanım, yazılım ve hizmetlerin tanımlı usuller kullanılarak edinilmesi
Ve ölçümler için:
•
•
•
•
1.2.4.
1.3.
1.3.1.
1.3.2.
1.3.3.
Tedarik sözleĢmeleriyle ilgili yaĢanan uyuĢmazlık sayısı
Azalan alım maliyeti
Tedarikçilerden istediğini sağlayan anahtar paydaĢların oranı
Platformların oranı‖
AI5, KONTROL HEDEFĠ ―Kurulu iĢ iĢlevselliklerini ve teknik gereksinimlerini kurumun teknoloji yönelimine göre karĢılayan
teknolojik altyapı edinme, uygulama ve sürdürüm planını yapmak. Plan, kesinlikle geleceğe dair kapasite artırımı, geçiĢ
maliyetleri, teknik riskler ve teknoloji yükseltimi için yatırımın ömrü esnekliklerini göz önünde bulundurmalıdır. Yeni teknik
yeterlilikler, eklendiğinde sağlayıcı ve ürünün ticari ömrü ve maliyet karmaĢıklığı değerlendirilir‖. ġeklinde ifade eder.
COBIT Referansı
Belirli bir denetim kapsamına en uygun düĢen COBIT materyalinin seçimi, belli COBIT BT süreçleri ve göz önünde
bulundurulan COBIT kontrol hedefleri ve ilgili yönetim uygulamaları temeline dayanır.
Seçilen ve uyarlanan süreç ve kontroller, söz konusu görevlendirmelerin kapsam ve koĢullarına göre değiĢebilir.
Gereksinimleri karĢılamak için en ilintili olduğu varsayılabilecek seçilen ve uyarlanan COBIT süreçleri aĢağıda birincil ve
ikincil olarak sınıflandırılmıĢtır:
Birincil:
•
PO1—Stratejik BT planı tanımlaması
183
G36 Biyometrik Kontroller
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
1.3.4.
PO3—Teknolojik yönelimin belirlenmesi.
PO5—BT yatırımları yönetimi.
PO8—Kalite yönetimi.
PO9—BT riskleri değerlendirmesi ve yönetimi.
PO10—Proje yönetimi.
AI1—Kendiliğinden çözümlerin tanımlanması.
AI3—Teknoloji altyapısının edinimi ve sürdürümü.
AI5—BT kaynaklarının tedariği.
DS1— Hizmet seviyelerinin tanımlanması ve yönetilmesi.
DS3—Performans ve kapasite yönetimi.
DS4—Hizmet sürekliliğinin sağlanması.
DS5—Sistemlerin güvenliğinin sağlanması.
DS7—Kullanıcı eğitimi ve yetiĢtirilmesi
M1— Süreçlerin izlenmesi.
M2— Ġç kontrol yeterliliğinin değerlendirilmesi.
ME3—Ġlgili yasalara uygunluk.
Ġkincil:
•
•
•
•
•
PO6—Yönetim amaç ve yönelimleri bildiriminde bulunmak.
AI6—DeğiĢikliklerin yönetimi.
DS9—Konfigürasyon yönetimi.
DS10—Sorun yönetimi.
DS11—Veri yönetimi.
Biyometrik kontrollerle en ilintili bilgi ölçütleri:
•
•
1.4.
1.4.1.
1.4.2.
1.4.3.
1.4.4.
1.5
1.5.1.
1.5.2.
1.5.3.
Birincil—Etkinlik, verimlilik ve eriĢebilirlik
Ġkincil—Gizlilik, bütünlük ve güvenirlik
Rehberin Amacı
Geleneksel tanımlama ve doğrulama araçları - eriĢim kontrolü kilit taĢları – kiĢisel tanımlama numarası veya parola gibi
―BĠLDĠĞĠN BĠR ġEY‖ ve akıllı kartlar veya ATM kartları gibi ―SAHĠP OLDUĞUN BĠR ġEY‖ temeline dayanır. Kartı
unutmamak ya da parolayı hatırlamak gibi kiĢinin hafızasına güvenme gerekliliği dıĢında bu yöntemler kiĢileri eĢsiz yollarla
ayırmaz. Parola ve jeton temelli sistemler, kendi zayıflıklarına sahiptirler ve genellikle, özellikle kriz anlarında darboğaz
yaĢanmasına neden olurlar. Teknolojinin ilerlemesiyle, güvenilir eriĢim kontrol araçları ―OLDUĞUN ġEY‖ noktasına gelmiĢtir,
biyometrik temelli eriĢim kontrolleri gibi.
Biyometrik eriĢim kontrolünün kritik özelliği doğruluğudur. Genellikle tanımlama, ‗TEKTEN-ÇOĞA‘ doğru depolanmıĢ görüntü
veritabanında bireysel nitelikler araĢtırılırken doğrulamada ‗BĠRE BĠR‘ eĢleĢtirmeyle bireyin iddiası doğrulanır. Biyometrik,
genellikle fiziksel eriĢim kontrolleri tanımlaması ve sanal eriĢim kontrolleri doğrulaması için uygulanır. Eğer asıl kiĢi, bir
dolandırıcıdan ayırt edilemezse sistem kapanır. YanlıĢ reddetme (olumsuz yanlıĢ) ya da yanlıĢ kabul (olumlu yanlıĢ)
oranlarının düĢük olması önemlidir ve belli bir oranda kurum için maliyet/risk değerlendirmesi sonucunda kabul edilebilir
olabilir.
Biyometrik teknoloji kullanan güvenlik mimarisinin kullanımdaki artıĢıyla, BS Denetçisi için bu teknolojiyle ilgili riskler ve karĢı
önlemler hakkında bilgili olmak kaçınılmaz bir zorunluluk olmuĢtur. BS Denetçisi, biyometrik kontroller, sistemini gözden
geçiren iĢ hedeflerinin baĢarıyla gerçekleĢmesini sağlamak için teknolojiye, iĢ süreçlerine ve kontrol hedeflerine yönelik iyi bir
görüĢe sahip olmalıdır.
Bu bağlamda, denetim görevini yerine getirirken biyometrik kontrolleri de gözden geçirmesi gereken BS Denetçilerine yol
gösterecek rehber gereği kendini göstermektedir.
Rehber Uygulaması
Bu rehber, BS Denetim Standardı S6 Denetim Performansı ve S10 YönetiĢim uygulaması için yol göstericilik sağlar.
BS Denetçisi, bu Rehberi yukarıdaki standartların nasıl uygulanacağına karar verirken kullanmalıdır, uygulama seçiminde
mesleki yargılar kullanılmalı ve rehberden herhangi sapmayı gerekçelendirmeye hazırlanmıĢ olmalıdır.
BS Denetçisi, bu Rehberin uygulanmasında iliĢkili diğer ISACA standartları ve Rehberlerini da göz önünde bulundurmalıdır.
184
G36 Biyometrik Kontroller(Devamı)
2.
2.1.
2.1.1.
2.1.2.
2.1.3.
BĠYOMETRĠK KONTROLLER
GiriĢ
‗Biyometrik‘ sözü Yunanca ‗biyo‘ ve ‗yaĢam ölçümü‘ anlamına gelen ‗metrik‘ sözcüklerinden türetilmiĢtir. Anlam
olarak,bireyin davranıĢ ya da fizyolojik özelliklerini temel alarak otomatik tanıma ya da doğrulama demektir.
Biyometrikler bilimi, bireylerin fizyolojik özelliklerinin ya da davranıĢlarının eĢsizliğini kullanır.
Biyometrik kontroller, bireyin fizyolojik ve davranıĢsal özelliklerinin kullanılması yardımıyla politikaların,
süreçlerin, uygulamaların ve kurumsal yapının tasarlanması, böylece iĢ amaçlarını, tanımlandırma ve yetkilendirme
anlamında, baĢarılmasında makul bir güvencenin sağlanması ve istenmeyen olayların engelleneceği, tespit edileceği
ve düzeltileceği anlamına gelir.
Tipik biyometrik sistemler, biçim 1‘de listelenmiĢ iĢlevleri yerine getirir.
KAYDETME
VERĠ
DEPOLAMA
VERĠ EDĠNĠMĠ
AKTARIM
SĠNYAL
ĠġLEME
KARAR
2.1
2.1.1
2.1.2
2.1.3
ġekil 1 – Tipik Biyometrik Sistem ĠĢlevleri
Kaydetme iĢlemi için söz konusu kullanıcı sisteme, dijitalize edilip deposunda saklayacağı referans Ģablon için
örnek sağlamalıdır. Çoğu biyometrik sistem çoklu örnek kullanır ve referans Ģablonun yaratılmasında bütün
Ģablonların ortalaması kullanılır.
Bireyin referans Ģablonu, gerçek zamanlı eriĢimde kullanıcının biyometrik doğrulamasının yapılabilmesi için
eriĢilebilen depoda saklanır. Depolama, yerel biyometrik aygıtta, uzaktaki merkezi depoda, akıllı kart gibi
taĢınabilir jetonlarda yapılabileceği gibi bunların bileĢkeleri de kullanılabilir.
EriĢim kazanacak geçerli kullanıcının tanınması ve doğrulanması için veri edinilir. Kullanıcının eriĢim kazanmak
istediği her zaman veri edinilir.
Sistem, tanımlama ve doğrulama amacıyla edinilen veriyi aktarmak için bir aktarım kanalı kullanır. Bu kanal
biyometrik sistemin içinde yer alabileceği gibi dıĢarıda, örneğin bir yerel alan ağında da yer alabilir. (LAN)
Sinyal iĢleme ya da görüntü iĢleme, edinilen verinin depolanmıĢ veriyle eĢleĢtirilmesi ve geçerlileĢtirilmesidir.
Saklanan referans Ģablon edinilen veriyle eĢleĢtirilir ve sonucu eĢleĢtirme kalitesi belirler.
Kullanıcının eriĢiminin kabul veya ret edildiği ‗EġLEġME‘ YA DA ‗EġLEġMEME‘ kararının verildiği iĢlev
noktasıdır.
Tanımlamaya karĢı Doğrulama
Biyometrik, fizyolojik ve davranıĢsal niteliklerine bakarak yaĢayan bir bireyin kimliğinin otomatik tanınması ve doğrulanması
sürecidir.
Biyometrikte, tanımada tekten çoğa doğru saklanana verilerin bireysel niteliklere denkliği araĢtırılır. Biyometrik doğrulamada,
birebir eĢleĢtirme yapılarak iddia sahibinin gerçekten kendisi olduğu doğrulanır.
Tipik olarak biyometrikler, tanımayı fiziksel kontrollerde ve doğrulamayı sanal kontrollerde yapar.
2.2
2.2.1
Performans Ölçümü
Performans ölçümlerinin tasarlanma amacı, ürünlerin değerlendirilmesine temel sağlamaya yardımcı olmaktır. BS
Denetçileri, denetim görevi boyunca biyometrik sistem performansı değerlendirmesini de göz önünde tutmalıdır. Biyometrik
sistemlerde birincil ölçümler aĢağıdaki ve biçim 2‘deki gibidir.
2.2.2
Hatalı reddetme oranı (FRR) ya da TĠPI HATA - Sistem tarafından geçerli öznenin kaç kere yanlıĢ yere reddedildiğinin
yüzdesinin ölçümüdür. FRR(%)= yanlıĢ reddetmelerin sayısı * 100/eĢsiz giriĢimlerin toplam sayısı.
Hatalı kabul oranı (FAR) ya da TĠP II HATA - Sistem tarafından geçersiz öznenin kaç kere yanlıĢ yere kabul edildiğinin
yüzdesinin ölçümüdür. FAR(%)= yanlıĢ kabul etmelerin sayısı * 100/eĢsiz giriĢimlerin toplam sayısı.
Çaprazlama geçiĢ hata oranı (CER) – FRR oranının FAR oranına eĢit olduğu ölçüm noktasıdır. Grafik üstünde bu nokta
FAR ve FRR kesiĢim noktası olarak görülmektedir. Çaprazlama geçiĢ oranı, performans ve hassaslık açısından sistemin iyi
bir noktada olması demektir.
Kaydetme zamanı – Referans Ģablonun yaratılması için yeni bir öznenin sisteme kaydı için gereken zamandır.
BaĢarısız kayıt oranı (FTER) – BaĢarısız kayıt Kurumsallerinin oranını belirlemek için kullanılır. FTER = baĢarısız kayıtların
sayısı / kayıt faaliyetinde bulunan toplam kullanıcı sayısı.
ĠĢleme oranı – Sistemin, tanımlama ve doğrulama için girilen veriyi sakladığı bilgilerle karĢılaĢtırıp sonuçlandırmak için
kullandığı zamandır. Bu, sistem tarafından kabul yada red için iĢlem yetkilendirilen kiĢilerin oranıdır.
2.2.3
2.2.4
2.2.5
2.2.6
2.2.7
185
G36 Biyometrik Kontroller (Devamı)
2.4.
2.4.1.
2.4.2.
Biyometrik Sistemlerin Türleri
Biyometrik sistemler, baĢlıca iki büyük sınıflandırmaya tabidir: Birincisi fizyolojik nitelikler, ‗Biz Kimiz‘ ve diğeri davranıĢsal
nitelikler, ‗NE YAPARIZ‘.
Fizyolojik nitelikleri temel alan biyometrik sistemler biçim 3‘de listelenmiĢtir.
Biyometrik Sistem
Parmak izi
Parmak ucu
Parmak eklemi
El geometrisi
Retina taraması
Ġris tanıma
Bilek toplardamar
Boğum izi
Yüz tanıma
Yüz ısıl çizer
2.4.3.
DavranıĢsal nitelikleri temel alan değiĢik biyometrik sistemler biçim 4‘de listelenmiĢtir.
Biyometrik Sistem
Ses tanıma
TuĢlama dinamikleri
Ġmza dinamikleri
2.5
2.5.1.
2.5.2.
2.5.3.
2.5.4.
2.5.5.
ġekil 3 – Fizyolojik Nitelikleri Temel Alan Biyometrik Sistemler
Veri Kaydı / Edinimi
Özne parmağını cam ya da polikarbon düzleme bastırdığında elde edilen görüntüdür.
Deri altındaki damar yapısı kayıt altına alınır.
Ġlk ve ikinci eklem arasındaki parmak yapısının kaydı alınır.
El ve parmakların uzunluk, geniĢlik ve yükseklik kaydıyla üç boyutlu görüntüsünün alınabilmesi için bir
kamera aynı anda yatay ve dikey görüntüleme yapar.
Göz küresinin arka iç tarafında yer alan retinanın kılcal damarlarının görüntüsü kamera ile alınır.
Kamera tarafından irisin (gözbebeğini çevreleyen renkli kısım) görüntüsünün alınması.
Toplardamarın bilekteki görüntüsünün alınması.
Parmak boğumunun tutma sırasındaki görüntüsünün alınması.
Yüksek kalitede kameralarla yüz görüntüsünün kayıt edilmesi.
Yüz dokusundaki ısı yolları ısı aygıtları kullanılarak alınır.
ġekil 3 – DavranıĢsal Nitelikleri Temel Alan Biyometrik Sistemler
Veri Kaydı / Edinimi
Ses, dijital olarak ses izlerine dönüĢtürülür ve ikili sayılar olarak saklanır.
Öznenin durma (tuĢa basılı tutma süresi) zamanı ve uçuĢ (tuĢlar arasındaki geçiĢ süresi) zamanı ölçülür.
Öznenin imzası, kaydedilen imza ile hız, basınç ve zamanlama açısından kıyaslanır.
Veri Depolama
Kolay çağırma ve karĢılaĢtırmayı sağlamak için kaynak Ģablonları eriĢilebilir bir yerde saklanmalıdır.
Biyometrik okuyucu aygıt içinde yerel depolama referans Ģablonuna çabuk eriĢim ve hızlı eĢleĢtirmeye olanak verir ve
kullanımda esneklik sağlar. Ancak, yeterli yedekleme ve yenileme süreçleri ile desteklenen bir sistem yoksa sistem çökmesi
sonucunda yeniden kayıt yapmak gerekebilir.
Büyük kurumlar, referans Ģablonları merkezi olarak depolarlar ve kullanıcılar ağa yerleĢtirilmiĢ bir biyometrik aygıtla merkezi
bir konuma kayıt edilirler. Merkezi saklama, yedekleme, yenileme ve denetlenebilme özelliklerine olanak verir. Geri çağırma,
özellikle veri boyutu/hacmi çok büyükse biraz yavaĢlayabilir.
Kullanıcıların biyometrik referans örneklerini taĢıdıkları durumlarda referans Ģablonu akıllı kartlarda depolanmalıdır ve
kullanıcı referans Ģablonun gizliliğinden, mahremiyetinden, kullanırlığından ve bütünlüğünden sorumludur. Akıllı kartların,
ayrıca ek güvenlik özellikleri vardır, Ģifreleme ve dijital imzalar ek güvenlik anlamına gelmektedir.
Veri gizlilik ve bütünlüğü, kiĢisel bilgiye yetkisiz eriĢimi önleyecek biçimde yönetilmelidir.
2.6.
2.6.1.
Biyometrik Sistem Risk ve Kontrolleri
BS Denetçisi, biyometrik sisteme özgü riskler ve kontrol önlemleri hakkında bilgili olmalıdır. En yaygın riskler ve karĢı
önlemler biçim 5‘de listelenmiĢtir.
ġekli 5 – Yaygın Biyometrik Sistem Riskleri ve KarĢı Önlemler
Riskler
Örnekler
KarĢı Önlemler
Aldatma ve taklit saldırıları
Parmak izi, biyometrik aygıtı üzerinde yapay Çokdoruklu biyometrikler, canlılık tespiti,
parmak kullanımı
etkileĢimli doğrulama
Yanıltıcı Ģablon riski
Sunucuda yanıltıcı Ģablon depolanır
Kriptolama, yetkisiz giriĢ izleme sistemi
(IDS), akıllı kartlar
Aktarım riski
Kayıt ya da veri edinimi sırasında aktarılan EtkileĢimli doğrulama, tanımlı sinyallerin
verinin ele geçirilmesi
reddi, sistem bütünlüğü
Çapraz sistem riski
Farklı uygulamalarda ve farklı güvenlik KarıĢtırma
iĢlevleri,
kodlama
seviyelerinde aynı Ģablonun kullanımı
algoritmaları
Unsur değiĢim riski
Zararlı kodlar, Truva atları, vb.
Sistem
bütünlüğü,
iyi
uygulanan
güvenlik politikası
Kayıt, Yönetim ve sistem kullanım riski
Kayıt, idare ya da sistem kullanımı sırasında Ġyi uygulanan güvenlik politikası
veri değiĢtirilmesi
Kısa devre ve güç kesintisi riski
Optik alıcı karĢısında parlayan ıĢıklar, Ġyi uygulanan güvenlik politikası
parmak izinin değiĢen ısısı ya da nemi
Güç ve zaman analiz riski
Biyometrik Ģablon veri deposunun güç Kısa devre jeneratörleri, biyometrik
analizleri ve faklı güç analizleri
aygıtta düĢük enerji tüketen yongalar
Artık karakteristik riski
Algılayıcı üzerinde kalan parmak izi değiĢik Teknoloji değerlendirmesi, çokdoruklu
biçimlerde kopyalanabilir
eriĢim
186
ġekli 5 – Yaygın Biyometrik Sistem Riskleri ve KarĢı Önlemler
Riskler
Örnekler
KarĢı Önlemler
Benzer Ģablon/benzer karakteristik riski
MeĢru olmayan bir kullanıcı meĢru Teknoloji değerlendirmesi, çokboyutlu
kullanıcının Ģablonuyla benzerlik taĢıyabilir
eriĢim, ince ayar gözden geçirmesi
Kaba kuvvetle saldırı riski
Saldırgan kaba kuvvet kullanarak, sistemi Belli sayıdaki baĢarısız giriĢimden sonra
ele geçirmek isteyebilir
hesap kilitlenir
Enjeksiyon riski
Ele geçirilen dijital sinyal doğrulama Güvenli aktarım; ısı algılayıcısının
sistemine zerk edilir
etkinleĢtirdiği tarayıcı (vücut ısısını
algılama); görüntülerin dijital temsilinde
tarih/zaman pulu
Kullanıcının reddi
Biyometrik tekniklerin yayılıcı doğası, Kullanıcıların eğitimi ve farkındalığı ile
kullanıcıların bunu kullanmayı reddetmesine en az Saldırı tekniğin seçilmesi
yol açabilir
Fiziksel özelliklerde değiĢiklik
Bazı teknikler yüz ve el özelliklerine bağlıdır CER izlemesi
ama bu özellikler zamanla değiĢir
Diğer eski sistemlerle bütünleĢtirme Kullanılan önceki sistemlerle uyumluluğuna Maliyet – fayda analizi
maliyeti
bakıldıktan sonra sisteme dahil edilmelidir
Veri kaybetme riski
Sabit disk / donanım arızası
Veri yedekleme ve iyileĢtirme
4.
DENETĠM USULÜ
4.1
4.4.1
Biyometrik Sistem Seçimi ve Edinimi
BS Denetçisi, biyometrik sistem seçimi ve edinimiyle ilgili izlenecek usulü gözden geçirirken aĢağıdakileri dikkate almalıdır:
•
•
•
•
•
•
•
•
•
•
•
•
•
4.2
4.2.1.
Biyometrik sistem kurulumunun hedefi ve bu hedeflerin kurumun iĢ amaçlarıyla uyumluluğu
Mahremiyet ve yasal konuları da dikkate alarak risk analizi ve varlık sınıflandırması temeline dayanarak biyometrik
sistem seçimi çalıĢması
Risk analizi etki ve azaltma planı
Biyometrik kontrol kullanımının iĢe etkisi
Biyometrik kontrollerin çalıĢanlar, müĢteriler ve iĢ ortakları üzerine etkileri
Kullanıcı kimliği ve parola doğrulama gibi geleneksel eriĢim sistemlerine karĢı biyometrik sisteme yapılan yatırımın
dönüĢü
Biyometrik ürünlerin eskimesi
Ürünün endüstriye ve ulusal/uluslararası standartlara uygunluğu
Ürün performansı pazar analizi ve sağlayıcı hizmet desteği
Satıcı sertifikası ve ürün sertifikası
Veri toplama amacıyla sisteme zorla giriĢ
Benzer endüstri ve diğer endüstri/kurumlar içinde kullanıcı kabulü
Yasal gerekler ve kullanıcı hakları (gizlilik)
Biyometrik Sistem ĠĢletimi ve Bakımı
BS Denetçisi biyometrik sistemin iĢletimi ve bakımıyla ilgili olarak Ģu noktaları gözden geçirmede dikkate almalıdır:
•
•
•
Biyometrik politika ve bunun kurum güvenlik politikasına uyumu
Biyometrik bilgi güvenliği ile gizlilik, bütünlük ve kullanılırlığın (CIA) sağlanması, veri deposuna eriĢimin kısıtlanması
•
•
•
•
•
•
•
•
•
Biyometrik sistemin diğer uygulamalar ve sistemlerle arayüzü (tek oturum açmak gibi)
Kurumdaki diğer biyometrik sistemlerle arayüz
ĠĢletme ve bakım maliyetleri analizi
Veri depolama kapasite gereksinimleri
Veri güvenliği, yedekleme ve yenileme usulleri
•
•
•
Biyometrik politikalar hakkında kurum içi iletiĢim
Biyometrik bilginin ve eĢsiz kullanıcı bilgilerinin gizliliğinin sağlanması güvencesi
Kayıt süresi, baĢarı oranı, baĢarısızlık oranı, iĢlem zamanı, kapanma süresi, olumlu yanlıĢ, olumsuz yanlıĢ, hatalar arası
ortalama zaman (MTBF), onarım süresi ortalaması (MTTR) ve FTER gibi veri analizi ile biyometrik sistem etkinliğinin
izlenmesi,
Güncelleme ve yama yönetimi
Kurumdan ayrılmalarından sonra kullanıcı kayıtlarının yok edilmesi
Biyometrik sistem çökmesi durumunda iĢ sürekliliği ve hazır sistemlerin/dengeleyicilerin kullanılabilirliği
Rol temelli eriĢimin kullanıldığı yerlerde uygun değiĢiklik kontrolleri
4.3
Kullanıcı Eğitimi ve Kabulü
4.3.1. BS Denetçisi, biyometrik sistem kullanıcı kabulü ve eğitimiyle ilgili olarak Ģu noktaları gözden geçirmede dikkate almalıdır:
Gizlilik ve biyometrik yasa ve düzenlemelerine uygunluk güvencesi
187
G36 Biyometrik Kontroller(Devamı)
•
•
•
•
•
•
•
4.4
4.4.1.
Uygulamalara yönelik sistem arayüzü
Kullanıcı kaydı, yeniden kullanıcı kaydı ve kayıt silme usulleri
Özne ve sistem temas gereksinimleri
Sistem testi, doğrulaması, geçerlemesi ve onaylaması
EriĢim tanımlamalarının ve yönetim ayrıcalıkların testi
Kurcalama veya sabotaja karĢı koruma
Verinin tehlikelere karĢı korunması
Veri yedeklemesi
ĠĢ sürekliliği planı (BCP) ve sistem baĢarısızlığı testleri
Düzenli testler (örneğin kaba kuvvet kullanımı)
Uzun süreli kullanımda sahteciliğe direnme ve güvenirlik
Uygulama ve Veritabanı Kontrolleri
BS Denetçisi, biyometrik sistemin eriĢim kontrolleri ve konfigürasyon ayarlarını gözden geçirirken Ģu noktaları göz önünde
bulundurmalıdır:
• O anda ve kesin gerekli iĢ koĢulları hariç olmak üzere bütün biyometrik bilgiye eriĢimi sınırlamak da içerilmek üzere
düzlem güvenliği yapılandırma ayarları
•
•
•
•
•
•
•
4.6
3.6.1
Belgeli eğitim materyalinin ve iĢaret panosunun kullanılabilirliği
Kurum içindeki sistem kullanıcılarının kabulü
Kabullenmeyen kullanıcıların sisteme zarar verme veya sabote etme riski
Sistem Performansı
BS Denetçisi, biyometrik sistem gözden geçirmesinde sistem performansıyla ilgili olarak aĢağıdaki noktaları dikkate
almalıdır:
•
•
•
•
•
•
•
•
•
•
•
4.5
4.5.1.
Biyometrik doğrulama sistemi kullanıcılarının farkındalığı
Kimlik sahibinin biyometrik sisteme dair rol ve sorumlulukları
Kullanıcıların eğitim gereksinimleri, eğitim planlaması, yardım masası ve destek hizmeti tanımlamaları
Sistem kullanımı, korunması, sistem ve kiĢisel hijyen eğitimi
Yetkisiz giriĢ tespit kontrolleri
ĠĢlem kontrolleri
Hatlar da dahil olmak üzere ağ kriptolaması
Depoda saklanan verinin kriptolaması
DeğiĢiklik yönetimi (yazılım ve donanım)
Veritabanı bakımı ve yönetimi
Donanım ve yazılım kurulumu
Denetim Ġzleri
BS Denetçisi, biyometrik sistemin denetim izlerini gözden geçirirken Ģu noktaları göz önünde bulundurmalıdır:
• EriĢim kaydı
• Faaliyet kaydı
•
•
•
DeğiĢiklik kaydı
EriĢim reddi sistem kaydı
Sistem eriĢim aksama kaydı
4
DENETĠMDE GÖZ ÖNÜNDE BULUNDURULACAKLAR
4.1
4.1.1
Biyometrik Sistem Kullanımında Önemli Noktalar
Biyometrik kullanımında dikkate alınması gereken noktalar aĢağıdadır.:
• Gizlilik noktası—Belli sağlık olayları, Ģeker hastalığı ya da inmeler retinanın kılcal damar yapısında değiĢikliklere yol
açabilir. Retina temelli biyometrik sistem kullanan kurumlar, sistem kullanıcısının belirleyici sağlık bilgisine uygun
olmayan biçimde sahip olabilirler. Fiziksel niteliklerin alınması ve kullanılmasıyla ilgili yasal düzenlemeler biyometrik
sistem kullanımından önce mutlaka göz önünde bulundurulmalıdır.
• Veri toplamaya yetkisiz giriĢ—Tarama sırasında kullanıcının özel alanına yetkisiz giriĢe karĢı kiĢinin hassasiyeti
•
•
Algılanan sağlık sorunları—KirlenmiĢ yüzeye (örneğin parmak izi taraması) temasla salgın hastalığa maruz kalma
kaygısı
Sistem kullanma becerisi—Önemli kullanıcılar, sistemi kullanma becerilerine (okuryazarlık ya da yetenek) sahip
değildir ya da sistemin gerçek performansından Ģüphe edebilirler. ĠĢletme koĢulları (yağlı el, tozlu alan gibi) sistem
performansını düĢürebilir.
188
G36 Biyometrik Kontroller (Devamı)
•
•
•
•
Sistemin yeniden baĢlatılması—Biyometrik teknoloji kusursuz değildir ve biyometrik uygulamaların güvenirliğiyle ilgili
sorunların üstesinden gelmek gerekebilir. ĠĢletim ve saygınlık açılarından yanlıĢ ret ve kabulün etkileri gözden
geçirilmelidir. Ġçeridekilerin engelleme ve sabotajlarının olma olasılığı da göz ardı edilmemelidir.
Kurulma maliyeti—Her eriĢim noktasına biyometrik aygıtların yerleĢtirilmesi pahalı olabilir ve fazla kaynak tüketebilir.
Doğruluk—Yetkisiz kullanıcıların eriĢim kazanması ve yetkili kullanıcıların eriĢiminin reddi olabilmektedir.
DeğiĢime direnme—Biyometrik sistem kullanmayı reddedebilecek kullanıcılara rastlanabilir.
Biyometrik sistem kullanımıyla ilgili yerel yasal gereklilikler ve kullanan topluluk tarafından sistem kabul edilebilirliği.
5.
YÜRÜRLÜK TARĠHĠ
5.1
Bu rehber 1 ġubat 2007 tarihinde baĢlayacak bütün denetimler için geçerlidir. Terimlere ait tam bir sözlükçe ISACA web
sitesinin www.isaca.org/glossary adresinde bulunabilir.
Kaynaklar
BT YönetiĢim Enstitüsü, Biyometrik Teknoloji Kontrolleri ve Riskleri, USA, 2004
189
G37 Konfigürasyon Yönetim Süreci
1.
1.1
1.1.1.
ARKA PLAN
Standartlarla Bağlantı
S6 Denetim ĠĢinin Yürütülmesi Standardı: BS Denetim Kadrosu, denetim hedeflerinin baĢarıldığının ve
yürürlükteki mesleki denetim standartlarının karĢılandığının makul güvencesini sağlamak amacıyla denetimin
iĢinin yürütülmesi esnasında gözden geçirilmelidir. Denetim süreci boyunca BS Denetçisi, denetim hedeflerini
baĢarmak için gereken yeterli, güvenilir ve iliĢkili bulgu sağlamalıdır. Denetim bulguları ve çıkarılan sonuçlar,
bu kanıtların uygun analizi ve yorumuyla desteklenmelidir‖ Ģeklinde ifade eder.
1.2
1.2.1
COBIT 4.1‘e Bağlantı
Kontrol usulü AI2 Uygulama yazılımı edinimi ve bakımı, ‗ĠĢ gereksinimlerine paralel ve kullanılabilir BT uygulamalarıyla iĢ
gereksinimlerini karĢılayan BT uygulama yazılımlarının edinimi ve bakımı usulünü kontrol etmek ve maliyet etkin ve
zamanında geliĢme sürecini sağlamak ve bunu zamanındalıkla makul maliyete odaklanarak baĢarmak için aĢağıdakilere
dikkat edilmelidir Ģeklinde ifade eder:
• ĠĢ gereksinimlerini tasarım özelliklerine çevirmek
• Bütün değiĢikliklerin geliĢtirme standartlar ile uyumunu sağlamak
•
GeliĢtirme, test ve iĢletim faaliyetlerini ayırmak
Ve bunları ölçümlemek için:
•
•
1.2.2
Önemli kesinti sürelerine yol açan her uygulama baĢına düĢen sorun sayısı
GeliĢtirilen iĢlevselden tatmin olan kullanıcıların yüzdesi‘
Kontrol usulü DS9 Konfigürasyon yönetimi, ‗BT varlıklarını dikkate alan ve BT altyapısını, kaynaklarını, yeterliğini ve
BT varlıklarını dikkate alan bir BT en iyileĢtirmesinin varlık nitelik ve dayanaklarının doğru ve tam depolanmasının
kurulması ve sürdürülmesine ve asıl varlık yapısıyla kıyaslamaya odaklanarak iĢ gereksinimlerini karĢılayacak BT
yapılandırma süreci usulü üzerinde kontrolü baĢarıyla sağlamak için aĢağıdakilere dikkat edilmelidir.‖ Ģeklinde ifade
eder:
•
•
•
Bütün konfigürasyon unsurları için merkezi havuz kurulması
Konfigürasyon unsurlarını tanımlamak ve bakımlarını yapmak
Konfigürasyon veri bütünlüğünün gözden geçirilmesi
Ve bunları ölçümlemek için:
•
•
•
1.2.3
1.2.4
1.2.5
1.3
1.3.1
1.3.2
Varlıkların uygunsuz konfigürasyonunun yol açtığı iĢ uygunluk sorunlarının sayısı
Konfigürasyon havuzu ve asıl varlık konfigürasyonu arasında tanımlanan sapmaların sayısı
Satın alınan lisans sayısı ve depoda sayılmayanların oranı‘
Kontrol amacı DS 9.1 Konfigürasyon depo ve dayanağı, ‗Bir destek aracının ve bütün ilgili konfigürasyon unsuru
bilgisini içeren merkezi bir deponun kurulması. DeğiĢiklikler sonrasında dönülecek bir kontrol noktası olarak her
sistem ve hizmet için konfigürasyon unsurları dayanağının sürdürülmesi.‘ Ģeklinde ifade eder.
Kontrol amacı DS 9.2 Konfigürasyon unsurlarının tanımlanması ve bakımı, ‗Yönetimi desteklemek için konfigürasyon
usulleri kurmak ve her değiĢikliğin konfigürasyon havuzuna kaydı. Bu usullerin değiĢiklik yönetimi ve sorun
yönetimi usulleriyle bütünleĢtirilmesi.‘ Ģeklinde ifade eder.
Kontrol amacı DS 9.3 Konfigürasyon bütünlüğü gözden geçirmesi bildirimine göre, ‗Kullanılmakta olan ve önceki
konfigürasyonların bütünlüğünü onaylamak ve doğrulamak için konfigürasyon verisinin düzenli olarak gözden
geçirilmesi. Düzenli gözden geçirmelerle, kurulu yazılımların yazılım politikasına aykırılığının, kiĢisel ya da lisanssız
yazılım kullanımını tanımlamak ya da herhangi bir yazılımın kullanımının lisans anlaĢmasının dıĢına çıktığının tespit
edilmesi. Etkilerin ve hata düzeltmelerinin ve sapmaların raporlanması.‘ Ģeklinde ifade eder.
COBIT Referansı
Özel denetim hedeflerine uygulanacak en uygun COBIT materyalinin tercihi, belli COBIT BS süreçlerinin seçimine ve COBIT
kontrol hedeflerinin göz önünde bulundurulması ve ilgili yönetim uygulamaları temeline dayanır.
Seçilen ve uyarlanan süreç ve kontrol hedefleri, söz konusu görevin kapsam ve koĢullarına göre değiĢebilir. Gereksinimleri
karĢılamak için en iliĢkili varsayılan seçilen ve uyarlanan COBIT süreçleri aĢağıdaki Ģekilde sınıflandırılmıĢtır.
• Birincil:
•
1.3.3.
–
–
–
–
PO9 BT riskleri değerlendirmesi ve yönetimi
AI6 Değişiklik yönetimi
DS9 Konfigürasyon yönetimi
ME2 İç kontrollerin izlenmesi ve değerlendirmesi
Ġkincil:
–
–
–
–
PO1 Stratejik BT planının tanımlanması
PO3 Teknolojik yönelimin belirlenimi
PO6 Yönetim amaç ve yönelimiyle iletişim kurmak
DS4 Hizmet sürekliliğini sağlamak
Konfigürasyon yönetimiyle en uygun bilgi ölçütleri:
• Birincil: Etkililik
•
1.3.4.
Ġkincil: Etkinlik, eriĢebilirlik, güvenirlik
BT yönetiĢimi, konfigürasyon yönetimiyle en uygun alanlara odaklanır:
• Birincil: Değer teslimi
• Ġkincil: Risk yönetimi
190
G37 Konfigürasyon Yönetim Süreci (Devamı)
1.4
1.4.1
1.4.2
1.4.3
1.4.4
Rehber Amacı
Konfigürasyon yönetimi araçları, doğru ve tam depolama yapısı kurmayı ve sürdürmeyi gerektiren donanım ve yazılım
konfigürasyonu bütünlüğünün makul güvencesini sağlar. Bu süreçte ilk konfigürasyon bilgisini toplama, dayanakların
kurulması, konfigürasyon bilgisinin denetlenmesi ve onaylanması ve gerektiğinde depo konfigürasyonunun güncellenmesi
yer alır. Etkin konfigürasyon yönetimi, sistem eriĢilebilirliğinin artıĢı, üretim sorunlarının azaltılmasını ve sorunların daha hızlı
çözümünü kolaylaĢtırır..
Günümüz iĢletmeleri, temel süreçlerin örgütlenmesi temeline dayanır. Neredeyse dünyadaki her kurum etkinlik ve etkililiğin
artan baskısına maruz kalmaktadır (Örneğin hizmet ve ürün kalitesinin artırılması, gelir artıĢı, maliyet azaltma, yeni ürün
geliĢtirme gibi); daha hızlı, daha iyi ve daha ucuz olarak kurum bütünlüğüne seslenen sistem ve ağlar, iĢ sahiplerine yüksek
kaliteli yazılım sağlayan kontrol sürecini değiĢtirmiĢtir. Ancak, , örneğin iĢletim sistemi ve veritabanı için masaüstü yazılımlar,
ağlar, özel yazılımlar, sistem yazılımları gibi değiĢen çeĢitli unsurlar, yönetilmesi gereken önemli riskleri de birlikte
getirmiĢlerdir.
Bu rehber, konfigürasyon yönetim usullerini gözden geçiren BS Denetçisine yardım etme amacındadır. BS Denetçileri
öncelikli olmak üzere – iç ve dıĢ denetçiler – hazırlanan bu belge, bilgi sistem kullanılırlığı, veri bütünlüğü ve bilgi
güvenliğinden sorumlu diğer BS uzmanları tarafından da kullanılabilir.
Bu rehber konfigürasyon yönetimini Ģu noktalardan betimlemektedir:
•
•
•
•
•
•
1.5
1.5.1
Süreç akıĢı
Roller ve sorumluluklar
Varlık izleme ve izleme araçları
Kontrol ve değiĢikliklerin sistem kaydı
Sürüm yönetimini kapsayan gereksinim bildirimi
RaporlanmıĢ ölçümler
Arka Plan ve Genel ĠĢlem AkıĢı
Konfigürasyon yönetimi sürecinin hedefleri :
•
•
•
Sistem eriĢilebilirliğini geliĢtirerek yada sürdürerek kurumsal BT sisteminde, kaynaklarında ve ağında yapılan
değiĢiklikleri etkin kontrol etmek ve yönetmek.
DeğiĢikliklerin sebep olacağı risklerin yönetiminde ve etkilerinin tahmininin doğruluğunu artıĢı
Bütün konfigürasyon unsurları ve geçmiĢteki temel konfigürasyon değiĢikliklerinin etki bilgilerini (Özellikle karmaĢık
ortamlarda büyük ölçekli belli bir türdeki değiĢikliklerin baĢarılı ya da baĢarısız olması gibi) konumlandırmak için merkezi
bir depo yaratmak ve sürdürmek.
•
1.5.2
Kısa ve uzun vadede yapılması planlanan değiĢikliklerin türleri ve sayısını bildirilmesi. Bütün tarafları etkileyecek
değiĢikliklerin durumu ve varlığı konusunda bilgilendirme süreci oluĢturulmalıdır.
Etkin Konfigürasyon yönetimi, yönetimin yeteri kadar hazırlanamamaktan dolayı vazgeçmesini ve/veya uyumsuz değiĢikliğin
sistem kullanılırlığını ve veri iĢleme bütünlüğünü etkileme riskini azaltır.
2.
DENETĠMDE GÖZ ÖNÜNDE BULUNDURULACAKLAR
2.1
2.1.1
Tipik Konfigürasyon Yönetimi Noktalarının Gözden Geçirilme
Kurum büyüklüğü ve karmaĢıklığına bağlı olarak, BS Denetçisi konfigürasyon yönetimi kontrol usulleri denetim göstergelerini
toplamalıdır. BS Denetçisi, üst yönetimin konfigürasyon yönetimi beklentilerini öğrenmelidir. Tipik olarak zayıf bir
konfigürasyon yönetimi, sistem kullanılabilirliğine ve veri bütünlüğüne karĢı önemli riskler yaratır. Özellikle, kurum sistemleri,
kaynakları ve ağlarında yapılan konfigürasyon değiĢiklikleriyle kritik sistem sorunları ve/veya zayıf veri bütünlüğü ve/veya
kurum bilgilerinin gizliliğinin sağlanmasında zaaf yaĢanması arasında iliĢki vardır.
BS Denetçisi, kuruluĢ sistem ve ağında tekil unsurun donanım ve yazılımın değiĢmesi için gerekli belgelemeyi de içeren
iletiĢim gereksinimlerinin çerçeveleyen konfigürasyon yönetimi politika ve usullerini anlamalıdır.
BS Denetçisi, kuruluĢ sistem ve ağını içeren iĢ uygulama yazılımı, özel yazılım ve veritabanı sistem yazılım ve donanımı
arasındaki iliĢkileri ve bütünlüğü kapsayan bütün unsurları içeren genel bir anlayıĢı edinmelidir.
BS Denetçisi, BT varlık izleme sisteminden ya da tam olarak doğrulanabilir bir denk bilgi noktasından bütün yazılım ve
donanım (model ve seri numarası) edinmelidir. EriĢilemiyor ise, bütün havuzun yeniden oluĢturulması gerekebilir.
BS Denetçisi, her unsurun bağlantılılığını ve bunların kendi arasındaki iliĢkinin diğer unsurlarla nasıl uyum sağladığını
anlamalıdır.
Konfigürasyon yönetimi süreci gözden geçirmeleri genellikle aĢağıdakileri kapsar:
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
•
•
•
•
•
Bütün konfigürasyon unsurları için merkezi depolamanın kurulması
Konfigürasyon öğelerinin tanımlanması ve konfigürasyon verisinin muhafazası
Depolamanın unsurlar, karĢılıklı iliĢkiler ve olaylar hakkında gerekli bilgiyi içerip içermediğini belirlemek
Konfigürasyon verilerinin tedarikçi/satıcı kataloglarındakine uygun olup olmadığının belirlenmesi
KarĢılıklı iliĢkili iĢlemlerin tam bütünlüğü olup olmadığına ve kurumun konfigürasyon verileri kullanma ve
güncellemelerinin otomatik olarak yapılıp yapılmadığının belirlenmesi
•
•
•
Konfigürasyon veri bütünlüğünün makul bir güvencenin sağlanması
Tam değiĢiklik belgelemesi de dâhil olmak üzere resmi değiĢiklik talebi varlığının doğrulanması
DeğiĢikliklerin kuruluĢ sistemi, kaynakları ve ağına verebileceği risklerin tanımlanarak belli seviyelerde sınıflandırılmasını
sağlayan tutarlı bir yöntemin kullanılıp kullanılmadığının belirlenmesi.
191
G37 Konfigürasyon Yönetim Süreci(Devamı)
•
Konfigürasyon yönetim kurulu ya da uygun yönetim seviyesinin gerekli görmesi üzerine istenen değiĢikliğin risk
değerlendirmesi denetim göstergelerinin belirlenmesi. Risk değerlendirmesi, değiĢimin belli bir ortam ya da ağ ile sınırlı
olup olmadığını ve etkilenecek iĢle ilgili kullanıcıların muhtemel sayısını ve iĢ bilgisini iĢlemedeki kritikliği göstermelidir.
•
Risk değerlendirmesi sonuçlarının iĢ ve BT yönetiminin resmi onayının doğrulanması (Güvenlik duvarı ayarlarında
değiĢiklik gibi)
•
GeliĢtirilme aĢamasındaki değiĢikliğin kurulumunda ya da geliĢtirilmesinde satıcının güncellemesi olup olmadığının
belirlenmesi (Örneğin sistem mühendisliği havuzu)
•
Konfigürasyon değiĢiklikleri bitirilmeden önce, üretim ortamındaki altyapı ve iĢ yazılımının aynısı niteliğinde bir test
ortamında yapılan testlerin sonucunda kuruluĢun diğer sistemlerinde, kaynaklarında ve ağlarında bir etkisinin
görülmediğinin belirtilmesi
•
KuruluĢun diğer sistemlerinde, kaynaklarında ve ağlarında muhtemel etkileri en aza indirmek için diğer değiĢikliklerin
eĢgüdümüne dayanan değiĢikliklerin planlanması. Bu planlama, değiĢikliklerin iĢ üzerindeki etkisini en aza indirmek için
kontrol yazılımlarının kümelenerek yükseltilmesini içeren sürüm yönetimi alt-süreçleri yardımıyla gerçekleĢtirilir.
Yapılan yükseltme değiĢikliklerinin üretim sürecine kontrollü bir biçimde (mesai saatleri dıĢında) sokularak ve canlı üretim
ortamında (örneğin veritabanı sistem yazılımı güncellemesi, depolanmıĢ kritik süreçlerin yürütülmesi ve veri bütünlüğü
değerlendirmesinin tetiklenmesi ile) yapılır.
•
•
Bütün varlıkların, konfigürasyon niteliklerinin ve dayanakların havuzunun kurulması. Konfigürasyon öğelerinin
dayanaklarının, değiĢikliklerden sonra dönülecek kontrol noktaları olarak muhafaza edilmesinin doğrulanması.
•
Her bir ayrı unsurun temel donanım ve yazılım verisinin bakımı, servisi, güvencesi, güncellemesi ve teknik
değerlendirmesi için var olan raporlamanın doğrulanması
Havuzdaki dayanaklarla asıl varlık konfigürasyonunun uyumluluğunun ve konfigürasyon havuzunun bütünlüğünün
kurulmasının gözden geçirilmesi
•
2.2
2.2.1
2.2.2
2.2.3
2.3
2.3.1
2.3.2
2.3.3
•
Yetkisiz yazılım kurulumunu önleyecek kuralların konup konmadığının ve bunu tespit edecek önlemlerin alınıp
alınmadığının belirlenmesi
•
Bakım ve güncellemeleri önceden görebilecek ve güncelleme ve teknoloji yenilenmeleri planlamasını sağlayacak bir
sistemin olup olmadığının belirlenmesi
•
DeğiĢiklik süreci yönetimi ve konfigürasyon yönetimi arasındaki bağlantının makul bir güvencesini sağlamak, böylece
konfigürasyon gözden geçirme sürecindeki bütün değiĢiklik konularının anlaĢılması
Roller ve Sorumluluklar
BS Denetçisi, konfigürasyon yönetimini destekleyen rol ve sorumlulukların listesini edinmelidir. Bu rol ve sorumluluklar, her
BT unsurundan ve ilgili alandan sorumlu olan her bir BT yönetiminin iĢ tanımı içine yerleĢtirilmelidir. BS Denetçisi, eğer
hâlihazırda bu yoksa, konfigürasyon yönetimi sorumlusunu araĢtırmalıdır (örneğin genel anlamda sürecin sahibi gibi).
Kurumsal sistemler, kaynaklar ve ağlarında yapılmakta olan değiĢikliklerin özelliklerini ve sayısını ölçmek için yönetimin
kaynakları tanımladığını doğrulamalı ve bunu sağlamalıdır.
Hesap verebilirlik, konfigürasyon değiĢikliğinin 1. ve 2. katmanlarında oluĢturulmuĢtur.
Varlıklar Ġzlemesi ve Ġzleme Araçları
Varlıklar, her varlık ayrı ayrı çalınmaya, kötü niyetli kullanıma ve yanlıĢ kullanıma karĢı korumak amacıyla izlenmelidir.
Yazılımlar, etiketlenmeli, envantere kaydedilmeli ve uygun Ģekilde lisanslanmalıdır. Kütüphane yönetim yazılımı, program
değiĢikliklerinin denetim izi üretmek ve program sürüm numarası, yaratılma – tarih bilgisi ve önceki sürümlerin kopyalarını
muhafaza etmek için kullanılmalıdır.
BS Denetçisi, yetkili yazılımların listesini edinmelidir ve bu mümkün ise, sunucuları ve masaüstü bilgisayarlar da dahil olmak
üzere tüm donanım aygıtlarını otomatik olarak tarayan bir araçtan edinmelidir. Yazılım Ģu kritik bilgileri sağlar:
•
•
•
Donanım tipi ve model numarası
Birlikte çalıĢabilirliği doğrulayan arayüz program ve kontrollerini de içeren yazılım unsurları
Sağlayıcı yazılımı:
– Sürüm
– Geçerli satıcı destek gereksinimleri belgelemesi
–
Diğer yazılımlarla arayüzü etkileyebilecek, sağlayıcı tarafından dayanak için yapılmıĢ özelleĢtirmelerin
belgelenmesi
2.3.4
BS Denetçisi, satın alınan bütün yazılımların ―BT Varlık Ġzleme Sistemine‖ kaydedildiğini doğrulayan yazılım edinme
kontrollerine dair genel bir anlayıĢ edinmelidir.
2.4
2.4.1
DeğiĢikliklerin Kontrolü ve Sisteme Kaydedilmesi
Edinim sonrasında envantere sadece yetkili ve tanımlanabilir öğelerin kaydedilmesini doğrulayan usullerin oluĢturulduğu
tespit edilmelidir. Bu usuller, ayrıca konfigürasyon öğelerinin yok edilmesi, satılması ve kullanımdan kaldırılmasının
yetkililiğini de gösterebilmelidir.
Konfigürasyon değiĢikliklerinin izlerini muhafaza etme usulleri yerinde olmalıdır (Örneğin, yeni öğe, prototip geliĢtirmede
durum değiĢikliği gibi). Sistem kaydı ve kontrol, değiĢiklik kayıtlarının gözden geçirilmesini de içerecek biçimde konfigürasyon
kayıt sisteminin tamamlayan bir parçası olmalıdır.
2.4.2
192
G37 Konfigürasyon Yönetim Süreci (Devamı)
2.5
2.5.1
2.5.2
2.5.3
2.6
2.6.1
2.6.2
2.6.3
Sürüm Yönetimini Ġçeren ĠletiĢim Gereksinimleri
Üst seviye BT yönetimi ve seçilen kıdemli iĢ yöneticileri, oluĢturacakları idare kurulu ile yüksek riskli konfigürasyon
değiĢikliklerini değerlendirmelidir (örneğin iĢ uygulamaları). DeğiĢikliklerin uygulanmasıyla ilgili kararlar tutanaklarıyla
belgelenmelidir.
BS Denetçisi, değiĢiklik planı denetim göstergelerini edinmelidir ve bunlar farklı değiĢikliklerin üretim – iĢleme ortamına
sokulma tarih ve zamanlarını belirten ―Sürüm Takvimlerini‖ de içermelidir. BS Denetçisi, tipik olarak, değiĢikliklerin
yaygınlaĢtırılmasını gözlemlemelidir, böylece bilgisayar iĢletimleri, sistem sorunlarını daha temelden tanımlayabilir.
Önemli konfigürasyon değiĢikliklerinin iĢ sahiplerine iletildiğinin denetim kanıtı sıra dıĢı sistem olaylarını tespit etmek
konusunda uyarmak .
Raporlanan Ölçümler
KuruluĢ, sistemler, kaynaklar ve ağlarda yapılan değiĢikliklerin özellikleri ve sayısının yapılan ölçümlerden ve gösterge
panosundan alınan sonuçlardır. Bazı tipik ölçüm örnekleri :
•
•
•
•
•
•
•
Tutarsızlığın tanımlanması ve giderilmesi arasında geçen ortalama zaman(boĢluk)
TamamlanmamıĢ ve kaybolmuĢ konfigürasyon bilgiyi ile ilgili tutarsızlıkların sayısı
Performans, güvenlik ve eriĢebilirlik hizmet seviyeleriyle uyumlu konfigürasyon öğelerinin oranı
Konfigürasyon deposu ve asıl varlık konfigürasyonu arasında tanımlanan sapmaların sayısı
Satın alınan ve depoda sayılmayan lisansların yüzdesi
Kullanılan lisanslanmamıĢ ve lisanslıların birbirine oranı
•
•
•
•
Teslim süresi önemli olduğunda, hassas tür ve büyüklükteki değiĢiklikleri tanımlayarak yıkıcılığı azaltmak
DeğiĢikliklerin risk seviyelerini tanımlamak ve sınıflandırmak için daha iyi bir yöntem belirlemek
Her kaydın teknik ve yönetimsel hesap verebilirliğinin olduğunu doğrulamak
ĠĢ gereksinimleri temelinde, esnekliğe izin verirken kayıtların teknik değeri ve iĢ hazırlığı açısında tutarlı biçimde gözden
geçirilmesine olanak veren bir süreci oluĢturmak.
Varlıkların uygunsuz konfigürasyonu dolayısıyla ortaya çıkan iĢ uyum sorunlarının oranı
Tepki süresi, sistem çalıĢırlığı, veri bütünlüğü kalitesi gibi hizmet seviye istatistiklerini içeren performans resmen belgelenir ve
BT yönetimi bilgisine sunulur. ÇalıĢan ve taĢeron (BT bölümünün dıĢ kaynaklı olması durumu) ölçümleri bu ölçülere göre
yapılmalıdır.
DeğiĢiklikler için, yönetimin teslim zamanı süresini ölçüp ölçmediğini ve bunun yıkıcı olmayan değiĢikliklerin baĢarısı ya da
baĢarısızlığında belirleyici olup olmadığını anlamak için;
3.
YÜRÜRLÜK TARĠHĠ
3.1
Bu rehber, 1 Kasım 2007 tarihinde bütün bilgi sistem denetimleri için geçerlidir.
193
G38 EriĢim Kontrolleri
1.
1.1
1.1.1
1.1.2.
1.2
1.2.1
ARKA PLAN
Standartlarla Bağlantı
S1 Denetim Yönetmeliği Standardı:‖ Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin amacı,
sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun biçimde
belgelenmelidir.‖ Ģeklinde ifade eder.
S3 Meslek Etiği ve Standardı: ―BS Denetçisi ISACA Meslek Etik Kuralları‘na bağlı kalmalıdır‖. Ģeklinde ifade eder.
Rehberlerle Bağlantı
G13 Denetim Planlamasında Risk Değerlendirmesinin Kullanımı bildirimine göre, ‗BS Denetçisi, genel denetim planını ve
özel denetim planın yaparken seçilen risk değerlendirme tekniklerini kullanmalıdır. Diğer denetim teknikleriyle bir arada
kullanılan risk değerlendirmesi Ģu planlama kararları alınırken aĢağıda yer alanları göz önünde bulundurulması gerektiğini
ifade eder:
•
•
•
1.3
1.3.1
Denetim usullerinin özellikleri, kapsamı ve zamanlaması
Denetlenecek alanlar veya iĢ birimleri
Denetim için ayrılan zaman ve kaynak miktarı'.
COBIT Bağlantısı
Kontrol süreci ME2 İç kontroller değerlendirme ve izlemesi:‖ BT ile ilgili faaliyetlerin iç kontrol süreçleri ve geliĢtirici
faaliyetlerin izlenmesine odaklanarak BT ilgili kanun ve düzenlemelere uyumun sağlanması ve BT hedeflerinin baĢarılması
için BT hedeflerinin baĢarılmasını korunması için iĢletme ihtiyaçlarını karĢılayan BT süreçlerinin izlenmesi ve iç kontrolün
değerlendirilmesi üzerindeki kontrol aĢağıdaki faaliyetlerle baĢarılabilir‘ Ģeklinde ifade eder:
• BT süreç çerçevesine yerleĢtirilmiĢ iç kontrol sisteminin tanımlanması
• BT üzerindeki iç kontrollerin etkililiğinin raporlanması ve izlenmesi
•
Faaliyetler için yönetime kontrol beklentilerinin raporlanması
ME2 ölçümleri için:
•
•
•
1.3.2
Önemli iç kontrol ihlallerinin sayısı
Kontrol geliĢtirme faaliyetlerinin sayısı
Kontrol öz değerlendirmelerinin kapsam ve sayısı
ME3 dış gerekliliklerle uyumun sağlanması, ―ĠĢ gereksinimlerini, yürürlükteki bütün yasaları, yönetmelikleri ve sözleĢmeleri ve
uygun BT seviyesini ve uygunsuzluktan kaynaklanabilecek riskleri en aza indirmek için BT süreçlerinin en uygun Ģekilde
iyileĢtirmesine odaklanarak yasa, yönetmelik ve sözleĢme yükümlülüklerine uyumu sağlayarak karĢılamak için aĢağıdakiler
gerçekleĢtirir:
• BT ile ilgili yasa, yönetmelik ve sözleĢme gereksinimlerini tanımlama
•
•
Uygunluk gereksinimlerinin etkisinin değerlendirilmesi
Bu gerekliliklere uyumun izlenmesi ve raporlanması
ME3 Ģöyle ölçümlenir:
•
•
•
1.3.3
Ceza ve yaptırımları da kapsayan BT uygunsuzluk maliyeti
DıĢ uygunluk sorunları ve bunların çözümünün tanımlanması arasında geçen ortalama zaman
Uygunluk gözden geçirmelerinin sıklığı
ME4 BT yönetişimi sağlanması, ―BT iĢ gereksinimlerini BT performansı, stratejisi, riskleri hakkında kurul raporu hazırlamaya
ve kurul yönlendirmelerine göre yönetiĢim gereksinimlerini yanıtlamaya odaklanarak BT yönetiĢiminin kapsamı içinde yer
alınan kurumsal yönetiĢim amaçları ve uyulan yasa, yönetmelik ve sözleĢmeleri bütünleĢtirerek, aĢağıdakileri sağlar:
•
•
BT yönetiĢim çerçevesinin kurumsal yönetiĢime entegrasyonu oluĢturmak
BT yönetiĢim konumu üstünde bağımsızlık güvencesinin edinilmesi
ME4 ölçümleri:
•
•
•
1.4
1.5.1
1.5.1
BT konusunda paydaĢlara kurul raporlarının sıklığı (Olgunluk dahil)
BT‘den kurula raporlama sıklığı (olgunluk dahil)
Bağımsız BT uygunluk gözden geçirmelerinin sıklığı
COBIT Referansı
Belirli bir denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, belli COBIT BS süreçlerinin seçilmesine ve
COBIT kontrol hedeflerinin göz önünde bulundurulmasına ve ilgili yönetim uygulamalarına dayanır. BS Denetçilerinin
sorumluluk, yetki ve hesap verebilirlik ihtiyaçlarını karĢılamak için seçilen ve uyarlanan en uygun COBIT süreçleri aĢağıda
birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan süreçler ve kontrol hedefleri görevlendirmenin özel kapsam ve
Ģartlarına bağlı olarak değiĢebilir.
COBIT süreçleri ya da özel hedefleri, bu Rehberin iĢaret ettiği alanların gözden geçirilmesinde birincil olarak ele
alınmalıdır:
•
•
•
•
•
PO1 BS risk değerlendirmesi
PO2 Bilgi mimarisinin tanımlanması
PO9 BT riskleri değerlendirmesi ve yönetimi
DS5 Sistemlerin güvenliğinin sağlanması
DS7 Kullanıcıların eğitimi ve yetiştirilmesi
194
G38 EriĢim Kontrolleri(Devam)
•
1.4.3
DS9 Konfigürasyon yönetimi
Bu Rehberin iĢaret ettiği alanlarda gözden geçirme yapılırken ikincil olarak göz önünde bulundurulması gereken
özel COBIT süreci ya da hedefleri:
•
•
•
•
•
•
•
•
•
•
•
•
1.4.4
AI6 Değişikliklerin yönetimi
DS1 Hizmet seviyelerinin tanımlanması ve yönetimi
DS2 Üçüncü taraf hizmetlerinin yönetimi
DS10 Sorunların yönetimi
DS12 Fiziksel çevre yönetimi
ME1 BT performansının izlenmesi ve değerlendirmesi
ME3 Dış gerekliliklere uygunluğun sağlanması
Sorumluluk, yetki ve hesap verebilirlikle en ilgili bilgi ölçütleri:
•
•
1.5
1.5.1
1.5.2
PO6 Yönetim amaç ve yönelimleriyle iletişim kurmak
PO7 BT insan kaynakları yönetimi
AI1 Otomatik çözümlerin tanımlanması
AI2 Uygulama yazılımları edinimi ve bakımı
AI3 Teknoloji altyapısının edinimi ve bakımı
Birincil: Etkililik, etkinlik ve gizlilik
Ġkincil: EriĢebilirlik, bütünlük ve güvenirlik
Rehber Amacı
Kurumlar, birbirine bağlı asıl dünyada, varlıklarını yetkisiz kullanımdan korurken sadece yatırımlarını değil aynı zamanda bilgi
varlıklarını kasıtlı ya da kasıtsız yanlıĢ kullanımdan kaynaklanan risklerden de korumalıdırlar. Gerçek teknoloji uygulamaları,
çeĢitli ve karmaĢıktır (Platformlar, uygulamalar, iĢletim sistemleri, veritabanları, e-posta araçları, güvenlik ve denetim araçları,
internet ve fakslar gibi) ve bunların hepsi de yetkisiz kullanıma karĢı koruma altına alınmalıdır. Bina, donanım,
telekomünikasyon, fotokopi makineleri, kameralar, dosya dolapları, genel yazıcı bilgileri ve müĢteri belgeleri gibi fiziksel
varlıklar da ayrıca koruma altında olmalıdır. Bu çeĢitlilik nedeniyle, varlık kontrolü için tek bir standart süreç oluĢturmak kritik
öneme sahiptir. Bu standart, kurumun belli ihtiyaçlarına iĢaret eden özelleĢtirilmiĢ bir dayanak noktası olarak iĢlerlik
kazanacaktır.
Bu rehber, BS Denetim standartlar S1 ve S3 uygulamalarına yol göstericilik sağlar. BS Denetçisi, bu Rehberi yukarıdaki
standartların nasıl uygulanacağına karar verirken kullanmalıdır, uygulama seçiminde mesleki yargılarını kullanılmalı ve
rehberden herhangi sapmayı gerekçelendirmeye hazırlanmıĢ olmalıdır.
1.6
1.6.1
Rehber Uygulaması
BS Denetçisi, bu Rehberin uygulanmasında diğer ISACA standartları ve Rehberleriyle iliĢkisini göz önünde bulundurmalıdır.
1.7
1.7.1
1.7.2
1.7.3
Genel EriĢim Sınıflandırmaları
EN AZ ERĠġĠM-Kullanıcı sadece gerek duyulan belli kaynaklara eriĢebilir
BĠLME GEREĞĠ ESASI-Kullanıcı, kurumun iĢini yürütmek için gerekli kaynaklara eriĢebilir, kurum gerekleri içindir kiĢisel ilgisi
için değil
SAHĠP-Varlıktan sorumlu olan kullanıcı
2.
GENEL TANIMLAR
2.1
2.1.1
Güvenlik Politikası
Güvenlik politikası, kurumun ve yönetimin sorumluluklarını tanımlayan ve güvenlik stratejisi ile iĢ hedeflerinin uyumunun
sağlanmasını tanımlayan yüksek seviye bir belgedir. Standartlar ve usuller, tam uygulama için yazılı hale getirilmelidir.
Standartlar, politikalara uygunluk sağlamak için ―NE‖ yapılması gerektiğini tanımlar ve herkes için geçerli olma amacındadır.
Usuller ‖NASIL‖ yapılması gerektiğini açıklar ve politikayı uygulamaktan sorumlu olanlara seslenir (kullanıcılar, teknoloji,
sağlayıcı gibi). Bunlar, ayrı belgeler olabileceği gibi ‗EriĢim Kontrol Politikası‘ olarak tek belge olarak da hazırlanabilirler.
Güvenlik politikası yazılırken göz önünde bulundurulacak çok fazla kaynak vardır. Her bir kurum, iĢi, koruma ihtiyacı , kültürü
ve bu hedefleri en iyi Ģekilde karĢılamak için uyarlamayla ilgili bilgiyi değerlendirmelidir.Bu politika, bütün çalıĢanlara
iletilmeden ve imzalatılmadan önce, iĢ ve güvenlik uzmanlarınca yazılmıĢ olmalı ve yüksek seviyede yönetici veya genel
müdürlerce onaylanmalıdır.
2.1.2
2.1.2
2.2.1
EriĢim Kurallarını Tanımlama Kriteri
Genellikle, ―ÖLÇÜT BĠLMESĠ GEREKTĠĞĠ KADAR‖ ilkesine dayanmalıdır. Her bir kurum, her çalıĢan grubu, satıcılar,
müĢteriler, düzenleyiciler ve denetçiler (rol temelli olması gibi) için uygun eriĢim seviyesini tanımlamalıdır. Bilgi varlıklarının
tamamının envanteri yapılmalı, bu bağlamda bilginin önemi, zayıflıklar, BT ortamında var olan güvenlik önlemleri, bilginin
iĢlendiği donanım ve bu bilgiyi (Fikri mülkiyet) yönetmek üzere görevli kiĢilerin tecrübeleri veya özel uzmanlıklar belirtilmelidir.
Korunması gereken fiziksel varlıklar ya da kaynaklar, aĢağıda yer almaktadır.
•
•
•
•
Enerji, güvenlik ve diğer altyapı öğelerini de içeren binalar (kesintisiz güç kaynağı [UPS], jeneratör, kameralar gibi)
Veri merkezleri
Telekomünikasyon odaları (çoklayıcı, göbekler, yönlendiriciler, özel otomatik Ģube değiĢimi [PABX], kablolar gibi)
Kütüphaneler (bantlar, kartuĢlar, p kodları gibi)
195
G38 EriĢim Kontrolleri
2.2.2
2.2.3
•
•
•
•
•
•
•
Kasa daireleri / alev geçirmez kasalar
Kasalar ve anahtar kutuları
Fakslar
Fotokopi makineleri
•
•
•
•
•
•
•
•
•
•
•
•
Sunucular (web sunucuları, uygulamalar gibi) ve bunların iĢletim sistemleri
Veritabanı sistemleri ya da dosya sistemleri
Uygulamalar
Araç-gereçler
Teleks
MüĢteri belgeleri
Destek belgeleri (düzenleyici)
Kurum, kritik görev ayrılığını doğrulamak için eriĢim rolleri matrisini yaratmalı ve düzenli olarak gözden geçirmelidir.
Korunması gereken sanal varlıklar ya da kaynaklar:
Manyetik kartlar, anahtarlar, sertifikalar ve akıllı kartlar
Sunucular, iĢ istasyonları ve PABX
Genel anlamda veriler
E-postalar (kurumsal hesaplar)
Güvenlik duvarı / yetkisiz giriĢ tespit sistemi (IDS)
Raporlar
Denetim kayıtları
Ağ (güvenlik çeperi)
2.3
2.3.1
Sahiplik ve Sorumluluklar
Her bir bilgi (ve BT ilgili fiziksel) varlığının sahibi, üstlendiği sorumluluğu resmi Ģekilde tanımlanmalıdır. Sorumluluklar, bilgi
sahibinin kurum tarafından hazırlanan, uygulanan ve izlenen eriĢim kontrol kural ve ilkelerinin dikkate alındığını güvence
altına almalıdır.
2.4
2.4.1
Varlık Sınıflandırması
Varlık sınıflandırması, temelinde yönetilen bilgi türü (kısıtlı, gizli, içsel, genel gibi) olmalıdır.
2.5
2.5.1
Yönetim
EriĢim kontrol politikası, görev ve seviye değiĢikliği, bilgi güvenlik yönetimi (ISA)/ bölümüne transfer olmak gibi,çalıĢanların
konumunun değiĢmesi durumunda sorumluluk, roller ve usulleri açıkça tanımlamalıdır. Kullanıcı konumlarındaki değiĢiklikleri
yönetecek bir usul belirlemek ve bu değiĢiklikle ilgili bilgi sahiplerine, kullanıcılara, üstün kullanıcılara, denetleyicilere
bildirmek ya da yetkilendirmeleri/ayrıcalıkların verilmesi, kaldırılması ve değiĢtirilmesinde bölüme büyük öneme sahiptir.
Güvenlik yöneticisi, güvenlik yönetiminin bütün sorumluluklarına sahip olmalıdır. ‗Yetkilendirme‘ kavramı, kullanıcılara
eriĢim izni verilmesinin değiĢebilirliğidir.
2.6
2.6.1
Kullanıcı Kontrolleri
TanımlanmıĢ bir süre boyunca etkinleĢmemiĢ kullanıcıların, silinmesi ya da engellenmesi ve peĢ peĢe belli sayıda baĢarısız
giriĢ testinden sonra kullanıcının engellenmesi gibi kullanıcı faaliyetlerini izleme ve kontrol amacıyla bir takım kontroller
tanımlanmalıdır. BaĢarılı Ģekilde kullanıcıya sistemde giriĢ kaydı, baĢarısız giriĢ testlerini saklamalı, baĢarılı giriĢin tarih ve
zamanı sağlamalıdır.
2.7
2.7.1
Yetkilendirme Gözden Geçirmesi
Yetkilendirme gözden geçirmeleri, en azından altı ayda bir sahiplerin/denetçilerin kullanıcı yetkilendirmelerini ve yapılan
değiĢiklikleri doğrulamak için yapılmalıdır. Yetkilendirme gözden geçirmesinin yapılmasını gerekli kılan ‗usul‘ uygunluğu
daha sık yetkilendirme gözden geçirmesini gerekli kılabilecek ortam (uygulama, dıĢ ağ eriĢimi gibi) değiĢiklikleri doğrulaması
sağlanabilmesi için en azından yılda bir kere değerlendirilmelidir.
Yetkili Kullanım ve Yaptırımlar
Politika ve destekleyici belgeler (standartlar, rehberler gibi), diğer risklere iĢaret ederken kurumsal kaynakların sadece iĢ
amaçları için kullanılabileceğini ve kiĢisel fayda amaçlı kullanılamayacağını mutlaka ifade etmelidir. ĠĢ kaynaklarının yanlıĢ ya
da uygunsuz kullanımıyla ilgili olarak cezalar/yaptırımlar olmalıdır.
Politika, özel hayatın dokunulmazlığı yasası, veri koruma ya da banka gizliliği gibi düzenleyici çerçeveleri(Kurumsal veya
yerel) kapsamalıdır. Ayrıca, sahibi kurum olan bilginin kiĢisel çıkar amaçlı kullanımı, CD/disketlerde kiĢisel yazılım kullanımı,
internetten yazılım indirmek, zincir mektuplaĢmalara katılım gibi faaliyetlerin yasak olduğu belirtilmelidir.
2.8
2.8.1
2.8.2
2.9
2.9.1
Ġstihdam Edilmeyen Personel
Politika, üçüncü taraf personellerinin ya da geçici danıĢmanların iĢlev ya da aktarımlar (güvenlik aktarımları, yetkilendirme
gibi) için eriĢilebilirliğinin olmadığını belirtmelidir. Bu iĢlev ve aktarımlara eriĢim ağ kontrolleriyle sağlanabilmeli ancak Ģirket epostası ya da çevirmeli eriĢim ve benzeri eriĢilebilir olmamalıdır.
196
G38 EriĢim Kontrolleri(Devamı)
2.10
2.10.1
2.11
2.11.1
2.11.2
2.12
2.12.1
2.12.2
2.12.3
Hesap Verebilirlik ve Parola PaylaĢımı
Politika açıkça her kiĢinin kendi parolasıyla, yapılan iĢlemlerden, bu parolanın baĢkası tarafından kullanıldığı kanıtlansa dahi
sorumlu olduğunu belirtmelidir. Sistem, parolaların geçerliliğinin sona ermesine ve değiĢikliğe zorlaması gerekir. Daha önceki
unsurlara dayanarak her kurum, çalıĢanların/müĢterilerin güncel iĢ gereksinimleriyle yasal gerekliliklere göre eriĢim
gereksinimlerini tanımlar.
EriĢim Türü
Yerine bağlı olarak, eriĢim yerinden ya da uzaktan eriĢim olarak sınıflandırılabilir.. Yerinden eriĢim kaynağını kaynakların
fiziksel olarak konumlandırılmıĢ olduğu kurum içinden alır. Uzaktan eriĢim ise kaynağını diğer konumlardan, örneğin ev, alır
ve tipik olarak acil değiĢiklik kontrol süreçleri ya da idarecinin planlı iĢlemleri için kullanılır. Sonuncusunda, yapılandırma ve
virüs korunma yazılımı, güvenli bağlantı (Sanal özel ağlar [VPN], Ģifreleme, Güvenli Soket Katmanı [SSL] gibi) önlemleri
alınmalı ve uzak etkinlik evdeki masa üstünden günlük kontrol edilmelidir.
Kablosuz ya da taĢınabilir aygıt kullanımı, en aza indirilmeli (Kritik süreçler ve bilgi için kullanılmamalı) ve sıkı biçimde kontrol
edilmelidir. EriĢim, teknik/teknik olmayan ve konfigüre edilmiĢ/edilmemiĢ olarak sınıflandırılırken eriĢimin gerçekleĢmesi için
gereken beceri ve karmaĢıklıklar göz önünde bulundurulur. Risk değerlendirme analizleri ve gerçekleĢme olasılığı için
önemlidir.
Gereçler
Bilgi varlıklarına eriĢimle ilgili olarak tanımlama, doğrulama, yetkilendirme ya da inkar etmeye karĢı önlem alınmalıdır.
Kullanıcı kaynağa tanıtılmalıdır; bu genelde kullanıcı kimliği (ID) (rakam ve karakterlerden oluĢan en az sekiz karakterli bir
dizilim), ID kart ya da kiĢinin sesi, parmak izi ya da iris/retinası (biyometrik) gibi fiziksel ID ile sağlanır.
Kullanıcı doğrulaması, bu kiĢinin o kiĢi olduğunu gösteren gizli öğeli bir kaynağın sağlanması ile yapılmalıdır. Sınıflandırmaya
ve risk değerlendirmesine bağlı olarak, doğrulama durağan parolalarla, değiĢken parolalarla veya bir kerelik parolalarla
(jetonlar), biyometriklerle, kiĢisel kimlik numaralarıyla (PIN)/ ticaret ortağı tanımlama numarası (TPIN) ile yapılabilir.
Doğrulama iĢlevi, ‗BĠLDĠĞĠN BĠR ġEY‘, ‗SAHĠP OLDUĞUN BĠR ġEY‘ ya da ‗OLDUĞUN BĠR ġEY‘ kullanılarak baĢarılabilir.
Etmenlerin bileĢkesi ile daha sağlam bir güvenlik olanaklı olabilir, örneğin otomatik vezne makinesi (ATM) iki etmenli
doğrulama kullanır bildiğin bir Ģey (PIN) ve sahip olduğun bir Ģey (kart) . Örnek olarak, ERĠġĠM KONTROL POLĠTĠKASI için
aĢağıdakine benzer bir tablo hazırlanmalıdır.
Bilgi
sınıflandırması,
risk
Teknikler
değerlendirmesi ve uygulama
PIN/TPIN
Durağan Parolalar
Bir Kerelik Parolalar
Biyometrikler
kullanımı, eriĢim türü
Genel
bilgi,
düĢük
risk,
D
D
D
S
aktarımsız uygulamalar, iç eriĢim
Gizli bilgi, orta risk, aktarılan
D
D
I
I
uygulamalar ve iç eriĢim
Kısıtlı
bilgi,
yüksek
risk,
D
I
I
S
aktarılan uygulamalar ve uzak
eriĢim (web)
Açıklamalar: S – Yeterli, I – Yetersiz, D-Ġstenilen
2.12.4
Kimlik ve doğrulama onaylanırsa, sistem söz konusu kaynaklara eriĢime izin verir. Kaynak türüne bağlı olarak değiĢik
tekniklerle bu iĢlem gerçekleĢtirilir, örneğin:
• Binalar, odalar, kasa odaları ve veri merkezleri için-Kullanıcı eriĢim kartları, PIN ve biyometrik
• MüĢteri belgeleri, dolaplar ve fakslar için-Kullanıcı eriĢim anahtarları, kartlar ve denetmen bellekleri
•
2.12.5
Güvenlik duvarları ve PROXYLER, diğer kaynaklara eriĢim sağlayan donanım varlıklarıdır ve çok önemli olmaları
dolayısıyla özel koruma altında olmalıdırlar. Fiziksel ve sanal olarak, tek idareci rol kullanımı, konfigürasyon değiĢiklikleri
ve uyarılar ve kayıtlar gibi unsurların kullanımıyla korunmalıdırlar. Her durumda, kullanımda olan hizmetlere (web
hizmetleri, e-posta, FTP gibi) göre her Ģirket gereksinimlerinin analizini yapmalı ve önerilen en yüksek
standartları/uygulamaları kullanmalıdırlar (örneğin bağlantı noktası 80‘in devre dıĢı bırakılması). Bu amacı baĢarmak için,
her Ģirketin bir ya da daha fazla güvenlik bültenine (örneğin CERT, SANS, Microsoft, Ulusal Standartlar ve Teknoloji
Enstitüsü [NIST]) aboneliği içeren zaaf ve tehdit yönetim usullerini dikkate alması önemlidir.
• IDS/etkin savunma sistemleri (ADS)/yetkisiz giriĢ engelleme sistemi (IPS), Ģüpheli trafiği çözümleyen ve tespit eden
donanım ve yazılımlardır; bunlar, ivedi olarak gözden geçirmeyi gerektiren uyarımlar/kayıtlar oluĢturacak biçimde
yapılandırılmalıdır. Alınan uyarım ve kayıtların gözden geçirilmesinde uygulanacak süreçleri belirlemek önemlidir, bu
göstergelerin analizi risk ya da tehdide bağlı olarak yapılandırma değiĢikliklerinin gerekliliğini gösterebilir.
• Uygulama, iĢletim sistemi ve veritabanı yönetim sistemi (DBMS) kullanıcı görünüĢleri, uygulama/DBMS
seviyesinde tanımlanır. Her bir kullanıcıya kullanıcı ayrıcalıkları verilir ve bunlar eriĢim kontrol listesine (ACL) yerleĢtirilir.
• Son kullanıcı için bilgisayar Excel iĢ tablosu, Access tabloları ve Fox/Dbase dosyaları var ise, sayfa parolalar, kullanıcı
ayrıcalıkları, hücre parolaları ve benzeri yöntemlerle korunmalıdır. Bu araçların kritik iĢlemler için kullanılması önerilmez
,çünkü bunların sağladığı güvenlik kontrolleri (parola koruması gibi) uygulama/DBMS içinde olanlar kadar güçlü
olmayabilir.
Ġnkâr edememe, aktarımı yapan kiĢinin bunun doğrulamasını inkâr edememesini hedeflemektedir. Dijital imzalar ve kayıtlar
aracılığıyla bu amaca ulaĢılabilir.
197
G38 EriĢim Kontrolleri(Devamı)
2.13
2.13.1
2.13.2
2.13.3
2.14
2.14.1
Risk Değerlendirmesi
EriĢim riski değerlendirmeleri, tehditler ve tehdit senaryolarının özelliklerine uygun Ģekilde düzenli aralıklarla
gerçekleĢtirilmelidir.
Zayıf eriĢim kontrolü uygulamaları, gizli bilginin (gizlilik) yetkisiz açıklanmasına, yetkisiz veri değiĢimine (bütünlük) ya da iĢ
sürekliliğinin sağlanamamasına (eriĢebilirlik) yol açabilir. Yerinde uygun eriĢim kontrollerine sahip olmamanın sonuçlarının
kuruma neye mal olacağı, varlıkların kurum açısından değeri itibarıyla hem sayısal hem de niteliksel –itibar kaybı, müĢteri
algısı, zorunluluklara uyulamaması, uzlaĢmalar (sözleĢmeler, hizmet seviye anlaĢmaları [SLA], yasal etkiler (Para cezaları ve
yaptırımlar), finansal etki, rekabet gücünün kaybı, gelir/bilanço kaybı gibi- açılardan göz önünde bulundurulmalıdır. Riskleri
en aza indirmek için, önleyici kontroller (politikaya göre) mutlaka kullanılmalı ve riskler iĢ açısından kabul edilebilir seviyeye
(artık risk) indirilmelidir. Tespit edici kontroller, süreç güvenliğinde ayrıca gereklidir.
Öngörülen bir sisteme duyulması gereken güvenin derecesi, bilgi varlıklarının değeri ve bu varlıklara yönelik algılanan risk
tarafından belirlenir.
Risk Ġzleme ve Ölçüleri
EriĢim risk göstergeleri, kontrol risk öz değerlendirmesi gibi yöntemlerle tanımlanmalıdır. Bazı örnekler aĢağıda yer
almaktadır:
•
•
•
•
•
2.15.2
DıĢarıdan saldırı giriĢimlerinin sayısı (BaĢarılı ya da BaĢarısız)
Ġçeriden yetkisiz giriĢimlerin sayısı
Yetkisiz eriĢimlerin yol açtığı güvenlik vakaların sayısı
Uygunluk taĢımayan yetkilendirme gözden geçirmelerinin sayısı
Onaylanan yetersiz eriĢim istemlerinin sayısı
EriĢime Özgü Tehditler
Kurumlar, ürün/hizmet/uygulamalarına bağlı olarak toplumsal mühendislik, oltalamaya, kimlik hırsızlığına, hizmet kesintisi
yaratma saldırılarına, web yanıltmasına ve siteler arası yazılık kod çalıĢtırmaya ne kadar açık olduğunun analizini yapmalıdır.
Maruz kalınabilecek muhtemel tehditler temelinde, web uygulamaları ve altyapısı (WEB standartları politikası, etik korsanlık
gibi) için özel önlemleri göz önünde bulundurmalıdır.
Kurum, yetkisiz giriĢ de dahil olmak üzere eriĢim ihlallerine uygun karĢılığı vermeye hazır olmalıdır.
2.16
2.16.1
Önleyici Kontroller
Önleyici kontroller aĢağıda yer almaktadır:
2.15
2.15.1
•
Sistem eriĢimi, güçlü parolaların kullanımıyla doğrulanmalıdır (Parola uzunluğu ve karmaĢıklığı, değiĢtirme sıklığı, parola
paylaĢımı ve benzerine dair kurallar)
•
•
Resmi onayı, iĢ bilgi kaynaklarına eriĢim hakkı verilmeden önce iĢ sahibinin vermesi gereklidir
EriĢim kontrol politikası, gerekli düzenlemelere (Ģirket ve yerel seviyelerde) ve politikalara göre eriĢim kontrol teknikleri
uygulamalarını tüm çalıĢanlara bildirilmeli ve çalıĢanlar tarafından imzalanmalıdır.
Kaynakların (insan kaynakları), doğru kullanımı için personel anlaĢması imzalanmalıdır
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
2.17
2.17.1
Eğitim, iletiĢim ve personeli uygunsuzluk önlemleri ve doğru eriĢim hakkında bilinçli kılacak programlar olmalıdır
Sahipler ve yöneticiler tarafından tanımlama ve onaylı süreci, kullanım dıĢı bırakma, silme, değiĢtirme, bildirim, sistem
kaydı ve denetim eriĢim kaydı usulleri var olmalıdır
Yönetim iĢlevleri üzerinde günlük kontrol de dahil olmak üzere kullanıcı yönetim usulleri olmalıdır
Satıcılarca verilen tüm kullanıcı kimlikleri iĢ gereği yoksa silinmelidir
ĠĢ gerekleri açısından zorunluluk içeren tedarikçi tarafından verilen kullanıcı kimlikleri için varsayılan ilk parolanın
değiĢtirilmesi zorunlu olmalıdır
Denetim araçları, güvenlik duvarları ve kimlikler gibi eriĢim kontrol araçları var olmalıdır
YanlıĢ kullanımdan (e-posta, internet) dolayı personele yaptırım uygulanmasını da içeren kaynak kullanım politikası
olmalıdır
Üçüncü kiĢi eriĢim gereksinimleri (SLA ya da sözleĢmeler)
Risk değerlendirme varsayımlarına bağlı olarak etiketleme usulleri
Geçici personelin eriĢim kısıtları (güvenlik iĢlevleri, aktarım yetkileri)
Mümkün ise, tüm platformlardaki varsayılan kullanıcı/eriĢim ayarlarının sıfırlanması
Üretim hizmetleri hesaplarına kullanıcılar tarafından girilmesini kısıtlamak
Bir eriĢim kontrolü olmasa da yetkisiz eriĢim etkilerini azalttığı için kriptolama kullanımı
Dosya dolapları, fakslar, kasa odaları, belgeler gibi fiziksel kaynaklara eriĢim ve bunların alıkonma ve korunma
gereksinimlerini de açıklayacak usullerin tanımlanması
GÖREV AYRILIĞI UYGULAMALARI – Kritik veriye eriĢimi, iki ya da daha fazla kiĢi arasında karĢılıklı kontrol seviyesini
sağlayacak biçimde bölmek
PIN/TPN/güvenli internet parolası (HPIN), jetonlar, biyometrikler, kullanıcı profilleri, ayrıcalıklar, oturum zaman aĢımı,
kablo kilidi, virüs korunma, casus yazılım korunma
Tespit Kontrolleri
Tespit kontrolleri arasında Ģunlar sayılabilir:
•
Uygunsuz durumların kaldırılması, sistem kaydı, satıcı müĢteri, düzenleyiciler ve denetçilerin gözden geçirmesi ve
giriĢlerini kapsayan yetkilendirme usullerinin gözden geçirilmesi
198
G38 EriĢim Kontrolleri(Devamı)
•
Ayrıcalıklı ya da üstün kullanıcıların faaliyetlerinin kayıt hesaplarının, üst bilgisayar güvenlik yönetimi tarafından yakından
izlenmesi ve gözden geçirilmesi
•
Rol ve sorumluluklarla tırmandırma usullerini de içeren güvenlik vaka usulleri, yetersiz eriĢim/kaynakların kötüye
kullanımı, Ģüpheli etkinlikler ve korsanları yönetecek biçimde var olmalıdır
•
Yetkilendirmelerin denetim/kalite güvence gözden geçirmesi, yüksek ayrıcalıklı kullanıcılar, varsayılan kullanıcılar, özel
gruplar/roller, güvenlik duvarı/IDS konfigürasyonu, uyarımlar ve kayıtlar kullanılmalıdır.
Öz değerlendirme yöntemleri kullanılarak bütünleyici iç denetim gözden geçirmeleri yapılmalıdır. Örneğin, iĢ süreciyle
bütünleĢik bir kontrol kümesi oluĢturulur ve bunlar riske göre belirlenen sıklıklarda her alanda yürütülür.
•
•
•
Yıllık giriĢ test değerlendirmesi, uygun olan yerlerde iĢ süreci, kaynaklar, insanlar, ağlar içerilecek biçimde yapılmalıdır.
OnaylanmamıĢ faaliyetleri içeren sistem kayıtları kaydedilmeli ve gözden geçirilmelidir.
2.18
2.18.1
2.18.2
Dengeleme Kontrolleri
Tespit etmeye ve önlemeye yönelik kontrollerin yetersiz kaldığı yerlerde dengeleyici kontroller göz önünde bulundurulmalıdır.
Bütün bu göstergeler için, güvenlik yönetiminin sorunların nedenini analizine ve bu soruna dair yönetimin azaltıcı/çözücü
hareket planını tanımlamasına izin veren bir değer tetiği tanımlanmalıdır (eğitimi güçlendirmek ve güvenlik araçları almak
gibi).
2.19
2.19.1
EriĢim Yönetimi Usulleri
Yerel usullere, platformlara, araçlara ve eriĢim yönetim araçları tasarımına bağlı olarak bu görev kurumdan kuruma değiĢiklik
gösterir, ancak her durumda aĢağıdakileri kapsamalıdır:
•
Her iĢlem için (eklemeler, silmeler, yeniden kurmalar ve profil değiĢiklikleri gibi) resmi olarak belgelenmiĢ eriĢim
istemlerinde yeterli gerekçe ve sahibin onay mutlaka gereklidir..
•
Yönetim iĢlemleri manuel yapıldığında (form ya da e-posta ile), istemi alan kullanıcı yönetici istemdeki onayların
gerçekliğini kontrol etmelidir. Bazı durumlarda, bu süreç otomatikleĢtirilerek her kaynak/alanın sahibi/denetçisini içerir ve
otomatik iĢ akıĢıyla onaylar sağlanır.
Her kullanıcı yönetim operasyonun süreci için zaman çerçevesi tanımlanmalı ve iĢ açısından anlaĢmaya varılmalıdır
(örneğin SLA, iĢ bildirimi gibi). Örneğin, kritik uygulamaları yeniden kuran bir kullanıcı SLA‘ya ya da uygun olarak
belirlenmiĢ süre içinde yanıtlanmalıdır.
•
•
•
•
2.20
2.20.1
Bilgi Güvenlik Yönetimi Kontrolü
Etkinlikler aĢağıdakileri kapsar:
•
•
•
•
2.21
2.21.1
Kullanıcılara ilaveler ve yeniden kurulumlar için gereken parolaların nasıl teslim edileceği açıkça tanımlanmalıdır. Bazı
durumlarda bu iĢlem kendiliğinden uygulama tarafından yapılır ve yönetici bile kullanıcı parolasını bilmez. Ayrıca,
parolalar oluĢturulduğunda (örneğin eklemeler ve kullanıcı tarafından yapılan yeniden kurulumlar sırasında) bunların
sadece kullanıcı tarafından bilinmesi ve kriptolu saklanması istenilen bir durumdur, bunlar kısıtlı bilgi olarak ele
alınmalıdır.
ÇalıĢanlara ve müĢterilere PIN/TPIN teslimlerinde öğenin (kartlar, jetonlar) teslimi için kullanılandan farklı bir teslim
kanalı kullanılmalı ve bunlar kendilerini etkinleĢtirecek kullanıcıya ulaĢana kadar etkin olmayan bir durumda olmalıdır.
Belli bir süre içinde sahibine ulaĢtırılamayan parola/PIN/TPIN yok edilmesini onaylayacak bir kontrol mutlaka var
olmalıdır.
Bütün ISA faaliyetleri, sistem denetim kayıtlarına iĢlenmelidir.
Bütün kullanıcı yönetim iĢleri,, diğer etkinliklerden (sistem yönetimi, iĢ aktarımları ve geliĢtirme faaliyetleri gibi)
ayrılmalıdır; aksi takdirde görev ayrılığı uygunsuzlukları çıkar çatıĢmasına yol açacaktır.
Bağımsız bir taraf bütün ISA faaliyetlerini 24 saat kontrol etmeli ya da sadece gerekli faaliyetlerin iĢleminin yapıldığını
onaylayan bir ikili kontrol iĢlevinin uygulanması sağlanmalıdır.
Bütün ayrıcalıklı kullanıcılar (idareciler, DBA‘lar) izlenmeli ve gerekçelendirme, belgeleme ve onay için daha sıkı kontrol
iĢlemi olmalıdır.
Kullanıcı Faaliyetlerinin Kontrolü
Kullanıcı faaliyetlerinin kontrolü Ģunları içerir:
•
•
•
•
•
BaĢarısız giriĢ faaliyetleri tanımlanmalı ve soruĢturulmalıdır.
EngellenmiĢ ya da askıya alınmıĢ kullanıcı kimliklerinin (üç ya da daha fazla baĢarısız Kurumsal), gerçekten o kullanıcı
tarafından kullanılmakta olup olmadığı soruĢturulmalı ve yetkisiz bir kiĢinin parolayı bulmaya çalıĢmadığından emin
olunmalıdır.
Etkin olmayan kullanıcılar izlenmeli ve süreye bakılarak gerekli düzeltici hareket uygulanmalıdır. Örneğin 60 gün
etkinleĢmeyen kullanıcıların engellenmesi ve 90 gün etkin olmayan kullanıcıların silinmesi.
Varsayılan kullanıcı (konuk, idareciler, sahip ya da kök gibi) ya da taĢeronların faaliyetleri, günlük olarak izlenmelidir. Bu
görev için güvenlik araçlarının kullanımı önerilmektedir.
Veri eriĢimi gün, hafta, ay ya da yılın belli bir kısmında olanaklı olmalıdır.
199
G38 EriĢim Kontrolleri (Devamı )
2.22
2.22.1
3.
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
EriĢim Ġzlemesi Varsayımları
Kullanıcı faaliyetlerinin kontrolü Ģunları içerir:
•
•
•
•
Kritik hesaplara, kayıt dosyalarına, veri dosyalarına ve veritabanına eriĢimler kesinlikle izlenmelidir.
Ayrıcalıklı kullanıcıların faaliyetlerini ve baĢarısız eriĢim faaliyetlerini, izlemek için kayıtlar düzenli olarak gözden geçirilmelidir.
Kötüye kullanılması durumunda yasalar, gizlilik ve etik açısından sorunlara yol açabilme olasılığı olan e-postalar izlenmelidir.
Ayrıcalıklı sistem giriĢ hesapları, izlenmeli ve gerekçelendirilmelidir. Uygun olduğunda, bu tür kullanıcılar kendi giriĢ
kimliklerini kullanmalı ve ayrıcalıklı yetki ile (Sistem Ġdareci Hesabı) giriĢ yapmalıdırlar çünkü genel kimliklerin paylaĢılması
riski vardır.
•
Tedarikçilerin sağladığı güvenlik ürünleri, ağ ve sunucu yetkisiz giriĢ tespiti gibi ve ilgili kayıtlar günlük olarak gözden
geçirilmeli ve uyarılar buna göre yönetilmelidir.
DENETĠM SÜRECĠ
Planlama
Bir denetim programı, kurumun risk değerlendirmesi ve risk yönetimi stratejisi temelinde, denetim amacı, kapsamı ve
zamanlaması da içerilecek biçimde geliĢtirilmelidir. Denetim programında rapor düzenlemesi açıkça yer almalıdır.. Kurumun
özellikleri ve büyüklüğü ve paydaĢlar göz önünde bulundurulmalıdır. BS Denetçisi, kurumun misyonu ve iĢ amaçları, teknik
altyapının türü ve iĢ açısında kritik bilginin genel bir anlayıĢını edinmelidir.
Bilgi yönetimi, sahipler ve denetçileri içeren anahtar personelin rol ve sorumluluklarıyla birlikte kurumsal yapının anlayıĢı
edinilmelidir.
Denetim planlama aĢamasının temel amacı, eriĢimin yanlıĢ tanımlanması, onaylanması, atanması, kullanılması ve kontrol
edilmesi durumlarında kurumun karĢılaĢacağı risk ve tehditlerin anlaĢılmasıdır.
Yüksek riskli alanlara ağırlık vererek gözden geçirmenin kapsamını tanımlamak için geçerli risk değerlendirme yöntemleri
kullanılmalıdır.
Uygulanabilir olması durumunda, test sonuçlarının sayısallaĢtırılması için denetim planlamasında uygun örneklem teknikleri
dikkate alınmalıdır.
Daha önce yapılmıĢ denetim raporları gözden geçirilmeli ve yönetim hareket planına göre her sorunun çözülme seviyesi
değerlendirilmelidir.
DENETĠM ĠġĠNĠN YÜRÜTÜLMESĠ
3.2
Denetim Görevi
3.2.1
BS Denetçisinin gözden geçirmelerde aĢağıdaki konuları dikkate almalıdır:
• Uygulanabilirse daha önce belirtilmiĢ önleyici ve tespit edici kontrollere bağlılık
•
•
•
Güvenlikten sorumlu tüm personelin örgüt yapısı ve iĢ tanımları
Güncel iĢ yükümlülüklerine oranlı biçimde bilgi kaynaklarına eriĢimle ilgili rollerin belirlenmesi
Bilgi teknolojisi grubuyla ilgili olanlar da dahil olmak üzere çalıĢan hesaplarına eriĢim yetkisi verilenlerin var olan iĢ
gereksinimlerinin doğrulanması amacıyla düzenli olarak geçerlileĢtirilmesi
•
ÇalıĢma durumu sona erdirilmiĢ personele verilmiĢ giriĢ hesaplarının olanaklı olan en kısa sürede silinmesinin
belirlenmesi
Gösterge uygunluğunu, güncelliğini, doğruluğunu ve tamlığını doğrulamak için politika, kıstas ve iĢlemlerin uygulanması
Onaylama usulü, sorumlulukların tanımlanması ve bunların güvenlikle ilgili iĢlevler için kabulü (Örneğin bilgi sahipleri, iĢ
süreci sahipleri, uygulama sahipleri gibi)
Varlıkların envanterlerinin sınıflandırılması ve risk değerlendirmelerin
Özellikle yüksek ayrıcalıklı kullanıcılar için ISA sistem kayıtları ve günlük kontroller
Güvenlik vakalarının çözümü, artırılması, bildirimi ve tespiti ve bunların gözden geçirmeye tabi oldukları süreç içersinde
ölçümleri. Personelle, güvenlik vaka süreçleri farkındalıklarını değerlendirmek amacıyla rastlantısal görüĢmeler
yapılması.
•
•
•
•
•
•
•
•
Farkındalık ve eğitim programları ve ilgili ölçümler
ISA iĢletim usulleri
Eğer varsa, süreç boyunca güvenlik vaka raporlaması, artırımı ve çözümü göstergeleri, çıkarılan dersler ve uygulanan
hareket planı
•
•
•
•
•
•
•
•
•
•
Yönetici faaliyetlerin gerekçelendirilmesi ve onaylanması ve iĢlevsel kullanıcı gerekçesi
Risk ve zayıflık değerlendirme raporları
Genelde çalıĢma iliĢkisi baĢladığında insan kaynakları sürecinin bir parçası olarak imzalanan iĢ akitleri ve maddeleri
Geçici personelle imzalanan sözleĢmeler
Platform konfigürasyon raporları (sunucular, masa üstü bilgisayarlar, Hostlar gibi)
Gözden geçirme süresi içindeki yetkilendirme gözden geçirme süreçlerinin kanıtları
Güvenlik duvarı/IDS/IPS konfigürasyon raporları
Tek etkin nokta için güvenlik duvarı/IDS/IPS kayıtları
Özel standartlar/rehberler (güvenlik duvarı, web uygulamaları gibi)
PaylaĢılan/üçüncü kiĢi hizmet sağlayıcıları içeren hizmet seviye sözleĢmeleri/anlaĢmaları
200
G38 EriĢim Kontrolleri (Devamı )
5
RAPORLAMA
5.1
5.1.1
5.1.2
Rapor OluĢturma ve Ġzleme
Taslak denetim raporu oluĢturulmalı ve ilgili personelle görüĢülmelidir. Sadece, açık kanıtlarla desteklenen konular içerilir.
Rapor, ISACA Rehberlerine göre bitirilmelidir ve sorunlar için geliĢtirme/çözme önerileri ve izleme seçenekleri içerilerek
yönetime sunulmalıdır.
Üst yönetim tarafından verilen izleme faaliyetleri, hareket planları, sorumluluklar, hedef tarihler, kaynaklar ve öncelikler
konusunda anlaĢma sağlanmıĢ olmalıdır.
5.1.3
6.
YÜRÜRLÜK TARĠHĠ
6.1
Bu rehber, 1 ġubat 2008 tarihinde baĢlayacak bütün denetimler için geçerlidir.
201
G39 BT Örgütlenmesi
1.
ARKA PLAN
1.4
1.1.1
Standartlarla Bağlantı
S10 YönetiĢim Standardı: BS Denetçisi, BS iĢlevlerinin kurumun misyonu, vizyonu, değerleri, hedef ve stratejileriyle
uyumlu olup olmadığını gözden geçirmeli ve değerlendirmelidir. BS Denetçisi, BS biriminin iĢ (etkililik ve etkinlik)
tarafından beklenen hizmeti ve baĢarısının değerlendirilmesi hakkında açık bir bildirime sahip olup olmadığını
gözden geçirmelidir.‖ Ģeklinde ifade eder.
COBIT Bağlantısı
PO1 Stratejik BT planı tanımı, ‗BT ve iĢ yönetimini, iĢ gereksinimlerinin hizmet önerilerine ve bu hizmetlerin Ģeffaf ve
etkili bir yolla geliĢtirme stratejisine çevrilmesi için bir araya getirmeye odaklanarak BT sürdürümü ya da iĢ
stratejisini ve yönetiĢim gereksinimlerini, fayda, maliyetler ve riskler hakkında Ģeffaflığı sağlamak için iĢ
gereksinimlerini karĢılayan stratejik BT planını tanımlayan BT süreçleri üzerinde kontrol sağlamaktır‘. Ģeklinde ifade
eder.
PO4 BT işlemlerinin tanımlanması kurum ve iliĢkiler), ‗ġeffaf, esnek ve yanıtlayıcı BT kurumsal yapısı kurmaya ve BT
süreçleri, iĢ ve karar alma süreçlerine sahipleri, sorumlulukları ve rolleri bütünleyerek tanımlamaya ve uygulamaya
odaklanarak BT için iĢ gereksinimlerini, yönetiĢim gereksinimleriyle uyumlu biçimde temas noktası unsurlarını ve
tanımlarını sağlayarak iĢ stratejisi karĢılıklarını çeviklikle sağlayarak iĢ gereksinimlerini karĢılayan BT iĢlemleri,
kurum ve iliĢkileri açıklayan BT iĢlemleri üzerindeki kontrol‘ Ģeklinde ifade eder.
PO5 BT yatırımları yönetimi, ‗Etkin ve etkili BT yatırımları ve portfolyo kararlarına ve BT stratejisi ve yatırım
kararlarıyla uyumlu bir BT bütçesi yapmaya ve izlemeye odaklanarak, son kullanıcıların beklentilerini karĢılayan
standart ve bütünleĢik hizmetlerle iĢ kârlılığına katkı sağlayan sürekli ve gözle görülebilir olarak geliĢen BT maliyet
etkinliğiyle iĢ gereksinimlerini karĢılayan BT yatırımları yönetimini içeren BT süreçleri üzerindeki kontrol‘ Ģeklinde
ifade eder.
ME4 BT yönetişiminin sağlanması, ‗BT stratejisi, performansı ve riski üstlenen kurul raporlarının hazırlanması ve kurul
kararlarına uygun biçimde yönetiĢim gereksinimlerinin karĢılanmasına odaklanarak BT yönetiĢiminin genel
yönetiĢim hedefleriyle bütünlüğünü ve yasa ve düzenlemelere uygunluğunu sağlamaya yönelik BT iĢ
gereksinimlerini karĢılayan BT yönetiĢiminin sağlanması BT süreci üzerindeki kontrol‘ Ģeklinde ifade eder.
Belirli denetim kapsamına uygulanacak en uygun COBIT materyalinin seçimi, belirli COBIT BS süreçleri seçimi ve COBIT
kontrol hedeflerinin göz önünde bulundurulması ve iliĢkili yönetim uygulamaları temeline dayanır. BS Denetçilerinin
sorumluluk, yetki ve hesap verebilirlik gereksinimlerini karĢılamak için seçilen ve uyarlanan en iliĢkili COBIT süreçleri
aĢağıda birincil ve ikincil olarak sınıflandırılmıĢtır. Seçilen ve uyarlanan kontrol hedefleri ve süreçler belirlenmiĢ kapsama ve
görevlendirme Ģartlarına bağlı olarak değiĢebilir.
1.2
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.2.7
AĢağıdaki özel COBIT hedefleri ya da süreçleri, bu Rehberin iĢaret ettiği alanların gözden geçirilmesinde ikincil
olarak ele alınmalıdır:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
1.2.8
PO2 Bilgi Mimarisinin tanımlanması
PO3 Teknolojik yönelimin belirlenmesi
PO6 Yönetim amaç ve yönelimleri bildirimi
PO7 BT insan kaynakları yönetimi
PO8 Kalite yönetimi
PO9 BT risklerinin değerlendirilmesi ve yönetimi
PO10 Proje yönetimi
DS1 Hizmet seviyelerinin tanımlanması ve yönetilmesi
DS2 Üçüncü taraf hizmetlerinin yönetimi
DS3 Performans ve kapasite yönetimi
DS6 Maliyetlerin yönetilmesi ve tahsisi
DS7 Kullanıcıların eğitimi ve yetiĢtirilmesi
DS8 Hizmet masası ve vaka yönetimi
DS9 Konfigürasyon yönetimi
DS10 Sorunların yönetimi
DS12 Fiziksel çevrenin yönetimi
DS13 Operasyonların yönetimi
AI2 Uygulama yazılımı edinimi ve bakımı
AI3 Teknoloji altyapısının edinimi ve bakımı
AI6 DeğiĢiklik yönetimi
ME1 BT performansı izleme ve değerlendirmesi
BT örgütlenmesiyle en iliĢkili bilgi kıstasları:
•
•
Birincil: Etkililik ve etkinlik
Ġkincil: Gizlilik, eriĢebilirlik, bütünlük, uyum ve güvenirlik
202
G39 BT Örgütlenmesi
1.3
1.3.1
1.3.2
Rehber Amacı
Yapı, kurumsal etkinliğin önemli bir sağlayıcısı ya da engelleyici olabilir, ancak tek baĢına kurumsal baĢarıyı etkilemez. Tek
bir doğru yapı yoktur çünkü iki kurum kesinlikle birbirisinin aynısı değildir. Bütün BT örgütleri, benzer amaçlara yönelik hizmet
verirler ve benzer sorumluluklara sahiptirler ancak, kendi görünüĢ özellikleri, yönetim sistemleri, süreçleri, sınırları, güçlü ve
zayıf yanları, her bir BT örgütünü eĢsiz kılar. Ancak yine de, en uygun BT örgütsel yapısını doğrulayan belirli özellikler vardır.
Bu rehber, BT standardı S10 YönetiĢimi uygulamasında yol göstericilik sağlar. BS Denetçisi, yukarıdaki standartların
uygulanmasının nasıl baĢarılacağını göz önünde bulundurmalı ve uygulamalarda mesleki yargısını kullanmalı ve
standartlardan herhangi bir sapma durumunu gerekçelendirmeye hazır olmalıdır.
1.4
1.4.1
Rehberi Uygulaması
BS Denetçisi, bu rehber uygulanırken ilgili diğer ISACA standartları ve Rehberlerini göz önünde bulundurmalıdır.
2.
BT ÖRGÜTLENMESĠ
2.1
2.1.1
Örgütlenme Türleri
Günümüz kurumlarının sınırları, çoğu durumda daha esnek, daha dinamik ve genel örneklere bakılacak olursa daha geniĢtir.
Kurumlar ve endüstriler, artık tüm süreçlere odaklanmaya baĢlayarak ve kurumun fiziksel duvarlarının ötesine geçmek
zorunluluğunu fark etmiĢlerdir. ĠĢ ortaklarına, tedarikçilere ve müĢterilere ulaĢmak zorundadırlar. Doğru, uygun ve zamanında
bilgi, yeni ekonomiler ya da genel olarak kullanılan adlandırmayla geniĢletilmiĢ kuruluĢlar için kaçınılmaz bir unsur olmuĢtur.
GeniĢletilmiĢ kuruluĢların paydaĢları arasında bilgi/bilgi paylaĢım faaliyeti, iĢleyen bir kurumsal yönetiĢimi sağlamayı
baĢarmanın anahtar etmenlerinden birisidir. Genel rekabet stratejisi, etkili bir bilgi yönetim stratejisi ve liderlik yapmayı
gerektirmektedir. Bir kurum, uygun bilgi örgütlenmesiyle karar almada üst yönetimin gereksinim duyduğu bilgiyi sağlamalı
diğer yandan da bu bilginin uygun seviyede kontrolünü sürdürmelidir.
2.2
2.2.1
BT Uyumu
ĠĢ ve iĢ unsurlarıyla BT uyuĢmasını en fazlalaĢtıracak tek boyutlu uygun yaklaĢım yoktur. ĠĢin doğası, büyüklüğü, pazarı, BT
bağımlılığı, liderlik tarzı ve kültürü belirleyici etmenlerdir. Kurum bünyesindeki BT yeterliği, dıĢ kaynaklara bağımlılık, dıĢ
kaynağın doğası ve genel yönetiĢim yapısı gibi unsur ve yapı uyuĢmaları da olması gerekenin belirlenmesinde yardımcı
etmenlerdir.
Son yıllarda, iĢin toplamı açısında BT bir arka oda unsuru olmaktan çıkıp doğrudan iĢin yapılabilirliğini belirleyen temel bir
kolaylaĢtırıcı ya da sağlayıcı olmuĢtur. Doğru Ģekilde BT uyuĢması olmadan bir kuruluĢun uzun vadede paydaĢlarına
yarattığı değerle varlığını baĢarılı bir biçimde idame ettirmesi olanaksız gibi görünmektedir. KuruluĢun genel stratejisi ile BT
uyuĢması Ģans eseri olmaz. Bunun için kuruluĢun değiĢik seviyelerde ve etkinliklerde tam etkin olması ve yönetim
odaklanması gereklidir. Bu sürekli çabada, kurum içi ya da dıĢ kaynaklı olması fark etmeksizin en üst seviyede beceri ve
uzmanlık gerekir. Risk almak ama bunu uygun risk yönetimiyle yapmak için güçlü ve gösterilebilir yönetiĢim gereği vardır.
BT uyumunu baĢaracak uygun yönetiĢim için kuruluĢun en üst seviyesinin bağlılık ve liderliği gereklidir. Bunun için yönetim
kurulu ve yönetim kurulu baĢkanının ileriye dönük katılımları gereklidir. Kurul aĢağıdaki durumlarda sorumlulukları almalıdır:
• BT stratejisinin iĢ stratejisi ile uyumunun sağlanması
• Stratejiye karĢı BT sunumunun sağlanması
• BT stratejisini, kurumu destekleyen sistemler arasında olduğu gibi yatırımları uyumlaĢtırılacak biçimde
yönlendirmek, kuruluĢun dönüĢümü ya da büyümesi
2.2.2
2.2.3
2.3
2.3.1
2.3.2
2.3.3
2.4
2.4.1
BT Strateji Planı
Bir kurum, kurul seviyesinde BT Strateji Komitesi oluĢturmalıdır. Bu kurul, kurumsal yönetiĢiminin bir parçası olarak BT
yönetiĢimi noktasında bütün kurul adına baĢlıca yatırımları gözden geçirmeyi, stratejik yönelimlerle ilgili önerilerde bulunmayı
sağlamalıdır.
BT strateji komitesi, BT‘nin kuruluĢun stratejik amaçlarına nasıl katkıda bulunacağını ve ilgili maliyet ve riskleri, ilgili
paydaĢlarla iĢbirliği yaparak tanımladığı BT STRATEJĠK PLANINI yaratmalıdır. Bu plan, BT‘nin BT kullanılarak yapılan
yatırım programlarına ve operasyonel hizmet teslimine nasıl destek sağlayacağını içermelidir. Plan amaçların nasıl
karĢılanacağı, ölçüleceği ve paydaĢlardan imzaların resmen nasıl alınacağını açıklar. BT stratejik planı yatırım/operasyon
bütçesi, fon kaynakları, kaynak stratejisi, edinim stratejisi ve yasal gereksinimleri kapsamalıdır.
Stratejik plan, taktik BT planlarının açıklanmasına izin verecek kadar ayrıntılı olmalıdır. BT stratejik planından, bir BT taktik
planı portfolyosu yaratılmalıdır. Bu taktik planlar, gerekli BS faaliyetlerini, kaynak gereksinimlerini, kaynakların nasıl
kullanılacağını, izlenen ve yönetilen faydaların nasıl sağlanacağını betimlemelidir. Taktik planlar proje planlarının
açıklanmasına izin verecek kadar ayrıntılandırmalıdır. Taktik BS planları ve faaliyetleri seti, proje ve hizmet portfolyosu
analizleriyle etkin olarak yönetilmelidir. Bu normalde, uygunluk ihtiyaçlarını ve düzenli olarak kaynakları kapsar, bunları
stratejik ve taktik amaçların ve beklenen faydanın baĢarılmasıyla kıyaslayarak sapmalara karĢın uygun adımların atılmasını
sağlar.
BT Yönetim Komitesi
Yürütme, iĢletme ve BT yönetiminden oluĢan bir BT yönetim komitesi (ya da denk organ) ve Ģu amaçlar için kurulmalıdır:
• Kurumsal iĢ stratejisi ve projelerin önceliklerini izleme durumunu ve kaynak çatıĢmasını BT yatırım
programlarının önceliklendirilmesiyle uyumunu sağlamak
•
Hizmet seviyeleri ve hizmet geliĢtirmelerinin izlemesi
203
G39 BT Örgütlenmesi (Devamı)
2.4.2
Stratejilerinin uygulanmasındaki gözetim rolüne sahip olan BT idare kurulu üyeleri arasında en azından bir tane (BaĢkanlık
edecek biçimde) yönetim kurulu üyesi olmalı, bu üye operasyon ve destek bölümleri baĢı olan baĢ bilgi memuru (CIO), baĢ
teknik memur (veya benzeri), ve yasal, denetim, finans gibi anahtar katkı unsurları tarafından desteklenmelidir. Bu seviyedeki
görüĢmelerin ayrıntıları BT strateji kurulunda beklenenlerden daha ayrıntılı olacak ve strateji kurulu çabalarına daha büyük
bir girdi sağlanması beklenecektir, örneğin Ģu konularda öneriler:
• BT harcamalarının yıllık seviyesi
• Kurumsal mimari ile iĢ hedeflerinin uyumu
• Portfolyo yönetimi, BT ile ilgili önemli iĢ yatırımlarının proje planlarının onaylanması dahil
• Proje planlarının izlenmesi, iç ve dıĢ değiĢikliklerin yansımalarının güncel planda içeriliyor olmasının
doğrulanması
•
•
•
•
•
BT ile ilgili kaynakların edinimi ve bu kaynakların tasfiyesi
Açıkça belirlenmiĢ iĢ öncelikleri temelinde BT kaynakları için çatıĢmaların izlenmesi
ĠĢletim ve destek bölümlerindeki temsili aracılığıyla proje takımına stratejik amaçların bildirimi
BT gösterge paneli, BT dengeli puanlama kartı ya da diğer anahtar ölçüler için ve bunların sonuçlarının yönetimi
için planların biçimlendirilmesi
BT değerinin paydaĢlara bildirimi. Bu Ģirket kapalı ağı aracılığıyla ya da çalıĢan bültenleri aracılığıyla, ancak
daha da önemlisi Ģirket web sitesi ya da paydaĢ bildirimiyle paydaĢlara ve dıĢ çözümleyicilere ulaĢtırılabilir.
2.5
2.5.1
BT ĠĢlevlerinin ve Destek ĠĢlevlerinin Kurumsal YerleĢimi
BT iĢlevi, BT‘nin kuruluĢ içindeki önemine dayanan iĢ modelini içeren genel kurum yapısı içine yerleĢmelidir. Özelde ise, iĢ
stratejisi açısından kritikliği ve Et operasyonel bağımlılık seviyesi dikkate alınmalıdır. CIO raporlama hattı, kuruluĢ içindeki
olanaklı olan BT faydası ve önemi ile orantılı olmalıdır.
2.6
2.6.1
BT Örgütsel Yapısı
Ġç ve dıĢ BT örgütsel yapısı, iĢ gereksinimlerini yansıtacak biçimde kurulmalıdır. Ayrıca, iĢ amaçları ve değiĢen Ģartların
gereği olarak kaynak stratejisini ve çalıĢan gereksinimlerini ayarlamak için BT örgütsel yapısını gözden geçirmeyi sağlayacak
süreçler oluĢturulmalıdır.
Bir BT örgütünün tanımlamasında çalıĢan, beceri, iĢlevler, hesap verebilirlik, roller, sorumluluklar ve denetim dikkate
alınmalıdır. Kurum, üst seviye yönetim ve iĢ yöneticilerinin, Ģeffaflık ve kontrol doğrulamalarının içine yerleĢtirildiği BT
iĢlemlerine sahip olmalıdır.
BT strateji komitesi, kurul BT gözetimini doğrulamalı ve iĢ ve BT yönetiminin için yer aldığı bir ya daha fazla idari kurul iĢ
açısından gerekli BT kaynaklarının belirlenen önceliğini onaylamalıdır. Süreçler, idare politikaları ve süreçlerin tam iĢlevselliği
sağlayacak biçimde örgütlenmesi ve kontrol, kalite güvence, risk yönetimi, güvenlik, veri ve sistem sahipliği ve görev
ayrılığına özel dikkat vermesi gerekir. ĠĢ gereksinimlerinin zamanında desteklenmesini doğrulamak için BT ilgili karar alma
süreçlerine katılmalıdır.
BT süreç çerçevesi, BT stratejik planının yürütülmesi için oluĢturulmalıdır. Bu çerçeve, BT süreç yapısını ve iliĢkilerini (Süreç
boĢlukları ve taĢmalarının yönetilmesi gibi), sahipliği, olgunluğu, performans ölçümünü, geliĢmeyi, uygunluğu, kalite
hedeflerini ve bunları baĢaracak planları içermelidir. Bu ayrıca, BT‘ye has Kurumsal Portfolyo yönetimi, iĢ sürecini ve iĢ
değiĢiklik süreci gibi süreçlerin birbiriyle bütünleĢmesini sağlamalıdır. BT süreç çerçevesi, kalite yönetim sistemi ve iç kontrol
çerçevesi ile bütünleĢik olmalıdır.
2.6.2
2.6.3
2.6.4
2.7
2.7.1
Roller ve Sorumluluklar
BS ile ilgili olarak kurum içinde çalıĢan tüm personelin rol ve sorumlulukları tanımlanmalı ve verilen rol ve sorumlulukları
yerine getirebilmeleri için yeterli yetki verilmelidir. Rol tanımları yaratılmalı ve düzenli olarak güncellenmelidir. Bu
tanımlamalar, yetkiyi ve sorumluluğu, ilgili konumun gerektirdiği deneyim ve becerilerle birlikte betimlemeli ve performans
değerlendirmesinde kullanılmaya uygun olmalıdır. Rol tanımları, iç kontrole dair sorumluluk da içerilmelidir.
2.8
2.8.1
BT Kalite Güvence Sorumlulukları
Kalite güvence iĢlevi, performans sorumluluğu verilmeli ve kalite güvence grubuna uygun kalite güvence sistemleri,
kontrolleri ve iletiĢim uzmanlığı sağlanmalıdır. Kurumsal yerleĢim ve sorumluluklar ve kalite güvence grubunun boyutu
kurumsal gereksinimleri karĢılamaya uygun olmalıdır.
204
G39 BT Örgütlenmesi
2.9
2.9.1
2.9.2
DıĢ Kaynaklı Süreç
Çoğu kurumda, BT harcamalarının önemli kısmı operasyonlara ve kullanıcı desteğine ayrılır. Her ne kadar kurumun fiziken
bünyesinde olan BT birimleri bu hizmeti karĢılayabiliyor olsa da tepe yönetimdekiler giderek daha da fark etmektedirler ki
yerel ve uzak hizmet sağlayıcılar daha büyük bir değer sunmakta ve müĢteri hizmetlerine daha disiplinli bir yaklaĢım
geliĢtirmektedirler.
BT‘nin artan stratejik önemiyle, üst seviye yöneticilerin BT ile ilgili beklentileri de yükselmiĢtir. Bu durum nedeniyle, kurum içi
dengeleri koruyan yeni ve yaratıcı dıĢ kaynak kullanımı artmaktadır. Çoğu örnekte, Kurum içi BT yapısı kullanıcı desteği, veri
merkezi operasyonları ve uygulama geliştirmeleri gibi günlük hizmetleri verirken, stratejiye ve yeniliklere yol açamaya katkı
sunmak için dıĢarıdan danıĢmanlar (uzmanlaĢmıĢ ve esnek) kullanılmaktadır. Bu eğilimler, bazen üst seviye yöneticiler
tarafından artan iĢ destek düzenlemeleri dolayısıyla desteklenmektedir. BT sistemlerini değiĢtirmenin zaman almasından
dolayı katkı sunması beklenen BT yapısındaki kusurlar da artmaktadır, bu eğilimlerin Ģiddetlenmesiyle sorunların çözülmesi
için iç kaynak kullanımı daha da gerekli olabilmektedir. Üst seviye yöneticiler, BT stratejik kullanımına yönelik önerileri
dikkate almıĢlardır, bunu BT örgütünden almadılarsa baĢka bir yerden almıĢlardır. Üçüncü taraf tedarikçilerin ve
danıĢmanların öneri hizmetlerinin alınmasında, tarafsızlık eksikliği olabilir, bunlar stratejik ve sıradan faaliyetler için kendi
ürünlerine dönük yönlendirmeler yapabilirler. BT örgütlenmesi, stratejik öneriler sağlayamazsa sıradan hizmetleri verme
fırsatını da kaybedebilir. DıĢ kaynaklı süreç kullanımı, yönetim kararı sonucu olarak da kullanılabilir; yönetim ana
faaliyetlerine odaklanmak ve maliyet etkin dıĢ kaynak kullanmak tercihinde bulunabilir, dıĢ kaynaklı BT süreçleri kurum içi
uzmanlık sağlamaktan daha az maliyetli olabilir.
2.10
2.10.1
BT Altyapısı ve Bilgisayar Sistemi ĠĢletimleri
Tam ve doğru veri iĢleme için etkili veri iĢleme yönetimi ve donanım bakımı gerekmektedir. Bu süreçte, önleyici donanım
bakımı, altyapının izlenmesi, hassas çıktının korunması, planlanmıĢ sürecin etkili yönetimi için iĢletim politika ve usullerinin
tanımlanması kapsar. Etkili sistem iĢletim yönetimi, veri bütünlüğünün sürdürülmesine, iĢ gecikmelerinin ve BT iĢletim
maliyetlerinin azalmasına yardım eder.
2.10.2
Bilgisayar donanımının ve personelin korunması, iyi tasarlanmıĢ ve iyi yönetilen fiziki tesisler gerekmektedir. Fiziksel
çevrenin yönetilmesi süreci fiziksel alan gereksinimlerinin tanımlanmasını, uygun tesislerin seçilmesini ve çevresel etmenleri
izlemek ve fiziksel eriĢimi yönetmek için etkili süreçlerin tasarlanmasını içerir. Fiziksel çevrenin etkili yönetimi, personel ve
bilgisayar donanımının kaynaklanan zararları azaltması dolayısıyla iĢ kesintisi azaltır. Ayrıca iyi bir önleyici bakım planlaması,
donanımın normal çalıĢırlığının sürmesine yardımcı olur.
Donanım ve yazılım yapılandırma bütünlüğünün doğrulanması, doğru ve tam konfigürasyon havuzu kurulmasını ve
sürdürülmesini gerektirir. Bu süreç, ilk konfigürasyon bilgisinin toplanmasını, dayanağın kurulmasını, yapılandırma bilgisinin
doğrulanması ve denetlenmesini, yapılandırma muhafazasının gerektikçe güncellenmesini içerir. Etkili konfigürasyon
yönetimi, daha hızlı sistem eriĢilebilirliğini kolaylaĢtırır, üretim sorunlarını en aza indirir ve sorunları daha hızlı çözer.
BT kullanıcı istek ve sorunlarının zamanında ve etkili yanıtlanması iyi tasarlanmıĢ ve iyi yönetilen hizmet masasını ve vaka
yönetim süreçlerini gerektirir. Bu süreç, hizmet destek masasında kayıtlılığın olmasını, vaka yükseltmesini, eğilim ve kök
gerekçe analizini ve çözümü içerir. ĠĢ faydaları ise kullanıcı isteklerinin çabuk çözümlenmesiyle verimliliğin artmasıdır. Ayrıca,
sebep sonuç analizi (Zayıf kullanıcı eğitimi gibi) etkili raporlama yardımıyla tanımlayabilir.
BT hizmetlerinin sürekliliğinin sağlanması gereksinimi için, BT iĢ sürekliliği planının geliĢtirilmesi, bakımı ve test, kurum dıĢı
yedekleme deposu ve düzenli olarak iĢ süreklilik plan talimi gerekmektedir. Etkili hizmet süreklilik iĢlemleri, anahtar iĢ
birimleri ve süreçlerinde önemli BT hizmet kesintisi olasılığını ve bu kesintinin muhtemel etkilerini azaltır.
BS kaynakları kapasite ve performans yönetimi gereksinmesini karĢılamak için BS kaynaklarının güncel performans ve
kapasite durumunun düzenli gözden geçirmesi bir süreç gereklidir. Bu süreçte, iĢ yükü, depo ve gereklilik olasılığı
çerçevesinde gelecek öngörüsü içerilir. Bu süreç, iĢ gereklerini destekleyen bilgi kaynaklarının sürekli olarak kullanılabilir
olmasının güvencesini sağlar.
BS yönetimi ve iĢin müĢterileri arasında verilen hizmetler hakkında etkili iletiĢim, BS hizmetleri ve hizmet seviyelerinin yazılı
anlaĢma ve tanımlara dayanması ile sağlanır. Bu süreç, ayrıca hizmet seviyelerinin baĢarılmasının izlenmesi ve paydaĢlara
zamanında raporlanmasını içerir. Bu süreç, BS hizmetlerinin ve ilgili iĢ gereksinimlerinin birbirleriyle uyumlaĢmasını sağlar.
2.10.3
2.10.4
2.10.5
2.10.6
2.10.7
2.11
2.11.1
Faaliyetler, Usuller ve Görevler
Et faaliyetleri standart usulleri tanımlanmalı, uygulanmalı ve sürdürülmelidir ve iĢletim personeli kendine verilen görevleri
tanıyor olmalıdır. ĠĢletim usulleri vardiya teslimine (faaliyetlerin, durum güncellemelerinin, iĢletim sorunlarının, yükseltme
usullerinin, geçerli sorumlulukların resmen devri gibi) faaliyet sürekliliğini doğrulamayı kapsamalıdır.. Ayrıca, BT altyapısını
ve ilgili olayları izleme usulleri tanımlanmalıdır.
2.12
2.12.1
Uygulama GeliĢtirme
Uygulama sistemleri, farklı Ģekillerde edinilebilir/geliĢtirilebilir, örneğin:
• Ġç kaynakların kullanılmasıyla özel geliĢtirme
• Kurum içinde ya da dıĢında konumlanmıĢ bir dıĢ kaynaktan kısmen ya da tamamen yararlanılarak geliĢtirme
•
•
Uyarlama olmaksızın tedarikçi yazılım paketinin aynen uygulanması
Özel gereksinimleri karĢılamak için tedarikçi yazılım paketinin uyarlanması
Çoğu zamanlarda, büyük ve karmaĢık uygulamalarda (kuruluĢ kaynak planlama kaynaklarını da kullanan) yukarıdakilerin bir
birleĢimi gerekebilir.
205
G39 BT Örgütlenmesi (Devamı)
2.13
2.13.1
BT Biriminin DıĢ Kaynak SözleĢmesinin SözleĢmeye Uygunluğu
BT yardım masasından BT iĢletimlerine kadar çok sayıdaki BT hizmetleri üçüncü taraftan dıĢ kaynaklı olarak sağlanabilir.
Üçüncü taraftan alınan hizmetin iĢ gereksinimlerini karĢılaması için etkili bir üçüncü taraf yönetimi süreci gerekir. Bu süreç,
baĢarıyla gerçekleĢtirmek için üçüncü taraf anlaĢmalarında roller, sorumluluklar ve beklentiler açıkça belirtilmeli ve anlaĢma
etkililik ve uyum açılarından gözden geçirilmeli ve izlenmelidir. Üçüncü taraf hizmetlerinin etkili yönetimi iĢlevini yerine
getirmeyen tedarikçilerden kaynaklanacak iĢ risklerini azaltır.
2.14
2.14.1
Üçüncü Taraflarla Ġlgili Süreçler
Üçüncü tarafın sağladığı bütün hizmetler, arz edici türü, önem ve kritikliğine göre tanımlanmalı ve sınıflandırılmalıdır. Rolleri,
sorumlulukları, amaçları ve teslim edilecek çıktıları kapsayan resmi bir teknik ve kurumsal iliĢkileri kapsayan belge, bu
sağlayıcıların arzın temsilcisinin kaynaklarını da içermelidir. Her tedarikçi için üçüncü taraf iliĢki yönetimi oluĢturulmalıdır.
ĠliĢkinin tarafları müĢteri sorunları üstünde ve güven ve Ģeffaflığa dayalı iliĢkinin kalitesinin doğrulanmasında birlikte hareket
etmelidir; örneğin hizmet seviye anlaĢmaları (SLA). Üçüncü tarafın arz ettiği yeni bir hizmet gireceğinde, hizmet sağlayıcının
iĢ değiĢikliklerini yansıtan hizmetlerini uyarlama ve geniĢletme yeterliği mutlaka göz önünde bulundurulmalıdır.
OluĢturulacak bir süreçle, sunulan hizmetler izlenmeli ve tedarikçinin geçerli iĢ gereksinimlerini karĢıladığı, sözleĢme ve SLA
koĢullarına bağlı kalmayı sürdürdüğü ve diğer seçenekler ve pazar koĢulları göz önüne alındığında performansın rekabetçi
olduğu doğrulanabilmelidir.
2.14.2
2.15
2.15.1
Risk, Güvenlik ve Uygunluk Sorumluluğu
BT risklerinin sahipliği ve sorumluluğu, uygun üst seviyeden de oluĢturulmalıdır..Bilgi güvenliği, fiziksel güvenlik ve uyum gibi
özel durumları da içeren kritik BT risklerini yönetecek roller tanımlanmalı ve atanmalıdır. Kurum çapındaki sorunların
üstesinden gelmek için kuruluĢ içinde risk ve güvenlik yönetimi sorumlulukları oluĢturulmalıdır. Ek güvenlik yönetimi
sorumluluklarının, güvenlik sorunlarının üstesinden gelmek için sistem seviyesinde verilmesi gerekebilir. Yönlendirme ya da
rehberler, BT riski iĢtahı ve artık BT risklerinin onaylanması konusunda üst yönetimden (danıĢarak) sağlanmalıdır.
2.16
2.16.1
2.16.2
Personel Alımı ve Korunması
Ġstihdam gereksinimleri düzenli olarak ya da iĢ, iĢletim ya da BT ortamında büyük değiĢiklikler olduğu zaman
değerlendirilmeli ve BT birimi için yeterli sayıda BT personelinin istihdam edildiği doğrulanmalıdır. Ġstihdamda, iĢin değiĢik
yerlerdeki ve BT personelinin çapraz iĢlevsel eğitimi, iĢ rotasyonu ve dıĢ kaynak fırsatları dikkate alınmalıdır.
Önemli BT personeli, açıklanmalı ve tanımlanmalı ve bunlara aĢırı güven duyma en aza indirilmelidir. Acil durumda gerekli
personelle iletiĢim kurma planı hazırlanmalıdır. Ayrıca tanımlana ve uygulanan politika ve usullerle danıĢmanların ve diğer
sözleĢmeli personelin faaliyetlerini kontrolü sağlanmalı, BT sürecinin kurumun bilgi varlığını koruduğundan ve sözleĢme
hükümlerinin karĢılandığından emin olunmalıdır. Anahtar performans göstergeleri, personelin performansının beklenen
seviyede olduğunu doğrulaya sağlamayı içerilmelidir.
3.
DENETĠM SÜRECĠ
3.1
3.1.1
Planlama
Denetim amacı, kapsamı ve zamanlaması da içeren bir denetim programı, kurumun risk değerlendirmesi ve risk yönetimi
stratejisi temeline uygun biçimde geliĢtirilmelidir. Denetim programında, rapor düzenlenmesi açıkça yer almalıdır.Kurumun
özellikleri ve büyüklüğü ve paydaĢları göz önünde bulundurulmalıdır. BS Denetçisi, kurumun misyonu ve iĢ amaçları, teknik
altyapının türü ve iĢ açısında kritik iĢ verileri hakkında genel bir anlayıĢını edinmelidir.
Risk değerlendirme yöntemleri, yüksek riskli alanlara odaklanarak gözden geçirmenin kapsamını tanımlamakta
kullanılmalıdır.
Daha önce yapılmıĢ denetim raporları gözden geçirilmeli ve yönetim eylem planına göre her sorunun çözülme seviyesi
değerlendirilmelidir.
BS Denetçisi, BT örgütlenmesi hakkında aĢağıdaki bilgiyi edinmelidir:
3.1.2
3.1.3
3.1.4
•
•
•
•
•
•
•
•
•
•
•
3.1.5
Bilgi yöneticileri, sahipleri ve gözetleyicileri içeren anahtar personelin rolleri ve sorumlulukları
Üst yönetimin idari rol ve sorumlulukları
Kurumsal hedefler ve uzun ve kısa vadeli planlar
KuruluĢun stratejik yönelimlerinin belirlenmesi
BT hedefleri ve uzun ve kısa vadeli planlar
Durum raporları ve planlama/idare kurulu toplantı tutanakları
Bilgi mimarisi modeli
BT örgütü ve iliĢkileriyle ilgili politikalar ve usuller
Görev tanımları, eğitim ve geliĢtirme kayıtları
Üçüncü taraf hizmet sağlayıcılarla yapılan sözleĢmeler
KuruluĢ tarafından belirlenen stratejik amaçlara ulaĢmak için gerekli BT altyapı ve yeterliliklerinin kuruluĢ tarafından
geliĢtirilip geliĢtirilmediğinin belirlenmesi
BS Denetçisi, amaç ve hedeflerin alt seviyelere (yukarıdan aĢağıya) iletilmesinde kullanılan iletiĢim kanallarını ve uygunluğu
izlemek için kullanılan bilgiyi (aĢağıdan yukarı) da içeren bölüm 4.1.1‘de belirtilen iĢlevleri yerine getirmeyi BT
örgütlenmesine imkân sağlayan süreçlerin genel olarak tanımlamalı ve edinmelidir.
206
G39 BT Örgütlenmesi (Devamı)
3.1.6
BS Denetçisi, kurumun BS stratejisi hakkında (belgelenmiĢ olsun olmasın) Ģunları da içeren bilgiyi edinmelidir:
•
•
•
•
•
•
3.2
3.2.1
3.2.2
3.3
3.3.1
3.3.2
Kurumun misyon ve amaçlarını gerçekleĢtirmek için uzun ve kısa vadeli planları
Bu planları destekleyen BT ve sistemler için uzun ve kısa vadeli strateji ve planlar
BT stratejisinin oluĢturulmasında, plan geliĢtirmede ve bu planların ilerlemesinin izlenmesi yaklaĢımı
Et strateji ve planları kontrol değiĢikliği yaklaĢımı
BT faaliyetleri için BT görev bildirimi ve üzerinde anlaĢılmıĢ amaç ve hedefler
Mevcut BT faaliyetlerinin ve sistemleri değerlendirmesi
BS Denetiminin Hedefleri
BT örgütünün denetiminin hedefleri,, hedeflenen kitlenin gereksinimlerinden ve istenilen yayılma seviyesinden etkilenebilir.
BS Denetçisi, genel denetim hedeflerini belirlerken aĢağıdaki seçenekleri göz önünde bulundurmalıdır:
• BT örgütü ve/veya onun etkililiği raporlanması
• BT faaliyetlerinin kurum misyon ve hedeflerini destekleyip desteklemediği
• Uygulamalar, teknoloji ve örgütlenmenin stratejik farklı seçeneklerin değerlendirilmesi
BT örgütünün BS Denetimi hedeflerinin ayrıntısı, üst seviye yönetim tarafından uygulanan iç kontrollerin çerçevesine bağlı
olarak değiĢir. Böyle bir çerçevenin oluĢturulmaması durumunda, COBIT çerçevesi ayrıntılı kontrol hedeflerinin oluĢturmak
için en azından kullanılmalıdır.
Denetim Kapsamı
BS Denetçisi, BT faaliyetini planlaması ve örgütlemesi için ilgili süreçleri ve faaliyetlerin izleme süreçleri denetim kapsamında
yer almalıdır.
Denetim kapsamı, COBIT çerçevesinde tanımlanan BT kaynaklarının tamamının korunması ve kullanılmasıyla ilgili
kontrol sistemlerini içermelidir. Bunlar Ģunları içerir:
•
•
•
•
•
•
Veri
Uygulama sistemi
Teknoloji
Tesisler
Ġnsanlar
BT yönetiĢimi
3.4
3.4.1
Görevlendirme
BS Denetçisi, bu gözden geçirmeyi gerçekleĢtirecek personelin uygun kıdem ve yeterlilikte olduğunun makul güvencesi
sağlamalıdır.
4.
DENETĠM GÖREVĠNĠN YÜRÜTÜLMESĠ
4.1
4.1.1
BT Örgütlemesinin ve Stratejik Planlama Sürecinin Gözden Geçirilmesi
BS Denetçisi, BT örgütlenmesinde iliĢkilerin gözden geçirmesinde, BT kurumunun doğru personel ve rol karıĢımına, iĢe göre
tanımlanmıĢ ve bildirilmiĢ rol ve sorumluluklarla sahip olup olmadığını dikkate almalıdır. BS Denetçisi, gözden geçirmenin
aĢağıdakileri içerip içermediğine bakabilir:
•
•
•
Politika bildirimi ve üst yönetimden, BT iĢlevi yetki ve bağımsızlığını doğrulayan bildirimler
BT planlama/yönetim kurulunun üyeliği ve iĢlevlerinin oluĢturulduğu ve sorumluluklar tanımlandığı
BT plan/yönetim kurulu Ģeması, kurul amaçlarını kurumun amaçlarıyla ve kısa ve uzun vadeli planlarıyla BT amaçlarını
ve uzun ve kısa vadeli planları uyumlaĢtırılması.
•
CIO raporlama hattı, kuruluĢun iĢiyle ilgili iĢlevinin önemiyle orantılı olur ve kuruluĢ endüstrisinin ve pazarının eğilimlerini
izler
•
DeğiĢen amaç ve koĢulların gereğini karĢılamak üzere kurumsal yapının iyileĢtirilmesi ve değerlendirilmesi için ihtiyaç
duyulan politikalar
Üst yönetimin gerçekleĢtirilen rol ve sorumlulukları doğrulaması
•
•
•
•
•
Bilgi sistemi, iç kontrol ve güvenlik noktasında bütün kurum personelinin rol ve sorumlulukların çerçevesini çizen
politikaların varlığı
BT örgütlenmesinin kalite güvence iĢlevinin ve politikalarının varlığı
Bütün önemli veri kaynakları ve sistemlerin, veri ve sistem sahipliğini kapsayan politika ve usullerin varlığı
Bütün personelin rol ve sorumluluklarını yerine getirmesi için yeterli yetki ve kaynağa sahip olmasını, rol ve
sorumlulukların uygun biçimde yerine getirildiğini doğrulayan uygulamaların denetimini betimleyen politika ve usullerin
varlığı
207
G39 BT Örgütlenmesi (Devamı)
•
Sistem geliĢtirme ve bakımı, sistem geliĢtirme ve iĢletimi, sistem geliĢtirme/bakımı ve bilgi güvenliği, sistem iĢletim ve
veri kontrolü, faaliyetler ve kullanıcılar, iĢletimler ve bilgi güvenliği arasında görev ayrılığını varlığı
•
•
BT personeli ve yeterliği, etkili teknoloji çözümleri sunabilme yeterliğinin doğrulanmasıyla sürdürülür
Sistem geliĢtirme yaĢam döngüsü faaliyetleri, bilgi güvenliği, edinim ve kapasite planlamasını da içeren anahtar
süreçlerin uygun rol ve sorumlulukları varlığı
Uygun ve etkili anahtar performans göstergeleri ve/veya kritik baĢarı etmenleri, kurumsal amaçlara ulaĢılırken BT iĢlevleri
sonuçlarını ölçmek için kullanılır
•
4.1.2
•
DanıĢmanların ve diğer sözleĢmeli personelin faaliyetlerini kontrol edecek ve dolayısıyla kurumsal varlıkları koruyacak
politika ve usullerin varlığı
•
•
•
Kurumsal satın alma politikalarıyla, tutarlılık ve yeterlilik için sözleĢmeli BT hizmetlerine uygulanabilir usuller
Hem iç hem dıĢ BT iĢlevinin çıkarlarının belgelenmesi, bildirilmesi ve eĢ güdümlemesi için sürecin varlığı
BT birimi hizmetlerinin, maliyetinin gerekçeli ve endüstri genel fiyatlarıyla maliyetleriyle uyumlu olduğunu güvence altına
alan politika ve usullerin varlığı
•
Kurumsal iĢe alma ve iĢten çıkarma usulleri, geçmiĢ denetiminin yapılması
BS Denetçisi, BT stratejik planlama sürecinin gözden geçirmesinde aĢağıdakilerin olup olmadığını dikkate almalıdır:
•
•
•
•
•
•
4.1.3
BT misyon ve vizyonunun açık tanımı vardır.
Stratejik BT planlama yönteminin vardır.
Yöntem, BT amaç ve hedeflerinin iĢletme amaç ve hedefleriyle uyumlaĢtırmaktadır.
Planlama süreci, düzenli olarak güncellenmektedir. (En azından yılda bir kere)
Plan önemli BS faaliyetlerini ve kaynak gereksinimlerini tanımlar
Bu süreçte yer alması zorunlu kiĢilerin katılım seviyesi uygundur
BS Denetçisi, mevcut sistem portfolyosunu idare etmek için kullanılan sürecin gözden geçirmesinde mevcut sistemin
kurumsal stratejiyi ve destek alanını ne kadar kapsadığını göz önünde bulundurmalıdır. BS Denetçisi,gözden geçirmede
aĢağıdakileri geçerli olup olmadığını bakabilir:
•
•
•
•
ĠĢ stratejik planlama sürecinin tanımladığı stratejik alanlara dair politikaların genel kapsamı
Üst seviye yönetimce ayrıntılandırılan, bildirilen, zorlanan ve izlenen politikalara uyumun izleme süreci
Resmi olarak oluĢturulmuĢ izleyen konularda belgeli politikaların varlığı: Güvenlik, insan kaynakları, veri sahipliği, son
kullanıcı bilgisayarı, fikri mülkiyet hakları, veri koruma, sistem edinimi ve uygulaması, dıĢ kaynak kullanımı, bağımsızlık
güvencesi, süreklilik planı, sigorta ve gizlilik.
Gözden geçirilen süreçlerde yer alan insanların rol ve sorumluluk tanımları (Örneğin, veri sahipliği, BT yönetimi,
yürütücü yöneticilik) bu süreçleri desteklemek için uygundur.
•
Gözden geçirilen süreçle ilgili insanların gözden geçirilen süreçlerle ilgili insanlar rollerinin gereği olan yetenek, deneyim
ve kaynaklara sahiptir
•
•
Ġç denetime uygun seviyede katılım sağlanır (Kurumun iç denetim kaynaklarına sahip olması durumunda)
BT uzman personel ya da iĢlevin kurum içindeki konumu, iĢ amaçlarını baĢarmak için kurumun BT‘yi en iyi biçimde
kullanmasını sağlamaya uygundur
•
BT uzmanları ve BT sorumlulukları taĢıyan uzman olmayanların kurum ve yönetimi, örgütün hata, ihmal, usulsüzlük ya
da yasa dıĢılıklar nedeniyle kurumun maruz kalabileceği risklere iĢaret etmeye yeterlidir
5
RAPORLAMA
5.1
5.1.1
Raporun OluĢturulması ve Denetim Sonrasının Ġzleme
Taslak denetim raporu, oluĢturulmalı ve ilgili personelle görüĢülmelidir. Sadece, açık denetim kanıtlarıyla desteklenen
sorunlar yer almalıdır. ĠyileĢtirme için yapılan öneriler, yönetimi temsil eden uygun seviyedeki personelle ele alınır.
Rapor, ISACA Rehberlerine göre bitirilmelidir ve sorunlar için geliĢtirme/çözme önerileri ve izleme seçenekleri içerilerek
yönetime sunulmalıdır.
Üst yönetimce, öngörülen izleme faaliyetleri, eylem planları, sorumluluklar, hedeflenen tarihler, kaynaklar ve öncelikler
konusunda anlaĢma sağlanmıĢ olmalıdır.
5.1.2
5.1.3
6
YÜRÜRLÜK TARĠHĠ
6.1
Bu rehber 1 Mayıs 2008 tarihinde baĢlayacak bütün denetimler için geçerlidir.
208
G 40 Güvenlik Yönetimi Uygulamalarının Denetimi
1.
1.1
1.1.1
1.1.2
ARKA PLAN
Standartlarla Bağlantı
S1 Denetim Yönetmeliği Standardı: ―Bilgi sistemi denetim iĢlevi ya da biliĢim sistemi denetim görevlerinin
amacı, sorumluluğu, yetkisi ve hesap verebilirliği denetim Yönetmeliğinde ya da hizmet sözleĢmesinde uygun
biçimde belgelenmelidir‖ Ģeklindedir.
S3 Meslek Etiği ve Standardı , ‗BS Denetçisi, ISACA Meslek Etik Kurallarına bağlı kalmalıdır.‘Ģeklindedir.
1.2
1.2.1
COBIT Bağlantısı
Belli bir denetim kapsamında uygulanabilir en ilgili COBIT materyalinin seçimi, belli COBIT BT süreçlerinin seçimine
ve COBIT kontrol amaçlarının ve ilgili yönetim uygulamalarıyla iliĢkisini dikkate alınmasına bağlıdır. BS Denetçisince güvenlik
yönetim uygulamalarının gözden geçirilmesinde, aĢağıdaki gibi birincil ve ikincil olarak sınıflandırılan ve COBIT‘teki
süreçlerle en iliĢkili olabilen seçilir ve uyumlaĢtırılır. Seçilen ve uyarlanan süreç ve kontrol hedefleri, görevin özel kapsam ve
Ģartlarına uygun biçimde değiĢebilir.
1.2.2
Bu rehberle iliĢkilendirilen alanda, gözden geçirilmesi yapılırken birincil olarak esas alınacak özel COBIT
hedef ya da süreçleri aĢağıdaki Ģekilde düĢünülmelidir:
 PO2 Bilgi mimarisinin tanımlanması
 PO9 BT risklerinin değerlendirmesi ve yönetimi
 DS5 Sistemlerin güvenliğinin sağlanması
 DS7 Kullanıcı eğitilmesi ve yetiĢtirilmesi,
 ME2 Ġç kontrollerin izlemesi ve değerlendirilmesi
 ME3 DıĢsal gereksinimlerle uyumun sağlanması
 ME4 BT yönetiĢiminin sağlanması
1.2.3
Bu rehberle iliĢkilendirilen alanda gözden geçirme yapılırken ikincil özel hedefler ve COBIT süreçleri
veya hedefleri aĢağıdaki Ģekilde düĢünülmelidir:












PO6 Yönetim amaç ve yönelimleri bildirimi
PO7 BT insan kaynakları yönetimi
DS1 Hizmet seviyelerinin tanımlanması ve yönetimi
DS2 Üçüncü taraf hizmetlerinin yönetimi
DS9 Konfigürasyon yönetimi
DS10 Sorun yönetimi
DS12 Fiziksel çevrenin yönetimi
AI1 Otomatik çözümlerin tanımlanması
AI2 Uygulama yazılımı edinimi ve geliĢtirilmesi
AI3 Teknoloji altyapısı edinimi ve geliĢtirilmesi,
AI6 DeğiĢikliklerin yönetimi
ME1 BT performansı izlenmesi ve değerlendirilmesi
1.2.4 Sorumluluk, yetki ve hesap verebilirlikle en ilgili bilgi ölçütleri:

Birincil: Etkililik, faaliyet ve gizlilik

Ġkincil: EriĢebilirlik, bütünlük ve güvenirlik
1.3
Rehber Amacı
1.3.1
ĠĢ kapsamındaki en değerli varlık bilgidir.Bilgi,, rekabette baĢarı ve ekonomik sürdürülebilirlik için daha yaĢamsal
olmaktadır. Kurumlar, gerçekte birbiriyle bağlantılı dünyada, kasıtlı veya kasıtlı olmayan yetkisiz eriĢimden, hem yatırımlarını
korumalı, hem de kaynakların kötüye kullanımından doğabilecek risklerden bilgi varlıklarını ayrıca korumalıdır. Bilgi
varlıklarının bu biçimde korunması, kurumda ancak resmi ve ayrıntılı bir bilgi güvenlik yönetimi çerçevesininin uygulamasıyla
baĢarılabilir. Bu rehber, yönetim tarafından uygulanan bilgi güvenlik yönetimi uygulamalarının tasarımı ve iĢletim etkinliğini
değerlendirilmesinde ve sonuçlandırmakta ayrıntılı bir rehberlik sağlar.
1.4
Rehber Uygulaması
1.4.1
BS Denetçisi , bu rehber uygulanmasında, bu rehberin diğer ISACA standartları ve Rehberleriyle iliĢkisini dikkate
almalıdır.
1.5
Tanımlar
1.5.1
Bilgi, kurum tarafından uygun biçimde korunması gereken değerli bir varlıktır. Bilgi, kağıt, elektronik biçimde elektronik
depolama aygıtlarında ya da bu ortama uygun araçlarla diğer bir araca aktarılmıĢ bir biçimde olabilir.
1.5.2
Bilgi güvenliği, ihtiyaç duyulduğu zaman(EriĢilebilirlik), sadece yetkili kullanıcıların (gizlilik) doğru ve tam
bilgiye(bütünlük) eriĢim hakkı sağlayan önlemler bütünüdür.
1.5.3
Bilgi güvenliği yönetim sistemi(ISMS-EGYS), bilgi güvenliğini kurmak, uygulamak, iĢletmek,
izlemek, sürdürmek ve geliĢtirmek için iĢ-riskini temel alan bütüncül bir yönetim sistemidir. Güvenlik yönetimini
uygulamalarını n yürütüldüğü kurumsal yapılar, politikalar, planlama aktiviteleri, sorumluluklar, usuller, süreçler ve
kaynaklardan oluĢur.
1.5.4
ISO 27001 Bilgi Güvenlik Yönetimim – Kullanımı Özellikli Rehberi, BS7799-2‘nin yerini almıĢtır. ISO/IEC
9001:2000 ve 14001:2004 gibi diğer yönetim standartlarıyla uyumlu ve üçüncü taraf denetimi için bir temel oluĢturmayı
amaçlamıĢtır.
209
G 40 Güvenlik Yönetimi Uygulamalarının Denetimi
2.
2.1
2.1.1
GÜVENLĠK YÖNETĠM SĠSTEMĠNĠN3 UYGULAMASI
PlanlanmıĢ YaklaĢım
Bir kurum‘un ISMS‘yi uyarlamasında ,, güvenlik yönetim sisteminin uygulamasında için süreç tabanlı bir yaklaĢımı
izlemelidir. Böyle bir güvenlik yönetim sistemi uygulaması, ISMS oluĢturulması, uygulaması, iĢletmesi, izlemesi, gözden
geçirmesi, bakımı ve geliĢtirilmesi gibi bütün faaliyetleri içermelidir. Kurum, bu çerçeveyi uygulamak için Planlama,
Uygulama, Kontrol Etme ve Önlem Alma (PUKO) modelini uyarlamayı tercih edebilir.
2.2
2.2.1
Güvenlik Yönetim Sisteminin OluĢturulması
BS Denetçisi, kurumsal politikalara uygunluğu sağlamak ve kurumsal hedeflerini gerçekleĢtirmek, uygun risk
değerlendirme süreciyle tanımlanmıĢ riskleri yönetmek ve bilgi güvenlik uygulamalarını geliĢtirmek için kurum tarafından bilgi
güvenlik politika ve usullerinin yazılı hale getirilip getirilmediğini ve uygulanıp uygulanmadığını doğrulamalıdır.
2.3
2.3.1
Güvenlik Yönetim Sisteminin Uygulanması ve ĠĢletilmesi
BS Denetçisi kurumun, bilgi güvenlik riskleriyle ilgili uygun kontrolleri, sorumlulukları ve öncelikleri tanımlayıp
tanımlamadığını ve bilgi güvenliğini korumak için riskleri ve ilgili hedefleri bildirmek amacıyla ihtiyaç duyulan bütün
kontrollerin uygulayıp uygulamadığını doğrulamalıdır.Ayrıca, BS Denetçisi, personelin güvenlik yönetim sistemini uygulamak
ve iĢletmek için bilgi güvenliğiyle ilgili uygun eğitim ve farkındalık programlarını alıp almadığını doğrulamalıdır. Ayrıca, BS
Denetçisi, kurumun, güvenlik olaylarını tespiti ve müdahale önlemlerini de içeren kontrolleri iĢletilmesi için süreçlerin uygun
yerinde amaçlandığı Ģekilde oluĢturulup oluĢturulmadığını da doğrulamalıdır.
2.4
2.4.1
Güvenlik Yönetim Sisteminin Ġzlenmesi ve Denetimi
BS Denetçisi, kurumun güvenlik yönetimi sisteminin etkililiğini ve etkinliğini izleme süreçlerine sahip olup olmadığını
doğrulamalıdır.
2.5
2.5.1
Güvenlik Yönetim Sisteminin Korunması ve GeliĢtirilmesi
BS Denetçisi kurumun, ISMS‘nin sürekli uygulanabilirliğini, yeterliliğini, etkililiğini ve etkinliğini doğrulayan gözden
geçirmelerin yönetim tarafından düzenli aralıklarla yapılmasını sağlayan süreçlere sahip olup olmadığını doğrulamalıdır.
Ayrıca, BS Denetçisi kurumda yönetimin düzenli aralıklarla yapılan bu güzden geçirmelerden kaynaklı sonuçlara ve önerilere
uygun önlem almasını sağlayacak ve ISMS etkililiğini geliĢtirecek süreçlerin var olup olmadığını doğrulamalıdır.
3.
GÜVENLĠK YÖNETĠM SĠSTEMĠNĠN GÖZDEN GEÇĠRĠLMESĠ
3.1
3.1.1
Güvenlik Yönetim Uygulamaları
BS Denetçisi, kurumun politikaları, uygulamaları, güvenlik örgütlenmesini, güvenlik rollerini ve sorumluluklarını içeren
bir güvenlik yönetim pratikleri setine sahip olup olmadığını doğrulamalıdır. BS Denetçisi, risk değerlendirme süreciyle
tanımlanan güvenlik gereksinimlerinin tanımlanmasından sonra, kurum tarafından güvenlik yönetimi uygulamaları
oluĢturmuĢ ise kurum için bilginin korunmasıyla ilgili yasal, meĢru ve düzenleyici gereksinimlerin anlaĢılmasıyla ve kurum
için ihtiyaç duyulan bilgi iĢleme gereksinimleri karĢılandığını doğrulamalıdır.
3.2
3.2.1
Bilgi Güvenliği Kurumsal Yapısı
BS Denetçisi, kurumun yönetim tarafından onaylanmıĢ ayrıntılı bir bilgi güvenlik politikasının yayınlanıp ve
bildirimler yapılarak güvenlik yönetimi pratiklerinin uygulamak üzere bir taahhüt olarak açık bir güvenlik politikası talimatına
sahip olduğunu doğrulamalıdır.
3.2.2
BS Denetçisi, bilgi güvenlik politikasının asgari aĢağıdakileri kapsadığını doğrulamalıdır:





3.2.3
3.2.4
3.2.5
3.2.6
3.3
3.3.1
3
Bilgi güvenliği, hedefleri ve kapsamının tanımlanması
Yönetimin, güvenlik politikası açıklaması biçiminde güvenlik yönetim pratiklerini uygulama amacı
Güvenlik politikaları, ilkeleri, standartları ve uygunluk gereksinimleri listesi
Bilgi güvenlik yönetimi yapısı ve ilgili sorumluluklar
Güvenlik yönetim pratikleri uygulamasında daha ayrıntılı politikalar ve süreçler gibi destekleyici belgeler
BS Denetçisi, kurumun bilgi güvenlik politikasını kurumun tamamına bildirmek için sürekli eğitim ve
farkındalık programlarını uygulayıp uygulamadığını ve kayıt altına alıp almadığını doğrulamalıdır.
BS Denetçisi, kurumun, güvenlik politikalarının uygulanabilirliğini ve etkililiğini sağlamak için bilgi güvenlik
politikalarını sürekli olarak değerlendiren bir süreci uygulayıp belgelediğini doğrulamalıdır.
BS Denetçisi, kurumun güvenlik yönetim pratiklerinin uygulanması, sürekli değerlendirme, izleme ve geliĢtirme ile
bilgi güvenliğini baĢarmak için güvenlik kontrolü kaynaklarının ve uygulanmalarının kolaylaĢtırılmasında sorumluluklarının
tanımlanıp tanımlanmadığını doğrulamalıdır.
BS Denetçisi, kurumun, yeni bilgi iĢleme araçları uygulama öncesinde gözden geçirilmesini onaylamak
için bir sürecinin olup olmadığını doğrulamalıdır.
Bilgiye Üçüncü Tarafın EriĢimi ve DıĢarıdan Kaynak Sağlanması
BS Denetçisi, kurumun, üçün tarafların bilgiye yetkisiz eriĢimi ya da kötüye kullanımını önlemek için uygun eriĢim
kontrol usullerini uygulayıp uygulamadığını doğrulamalıdır. Bu kontroller, üçüncü taraflara eriĢim sağlanmadan önce
uygulanmalıdır.
Practice, faaliyet yada sistem anlamında kullanılması daha uygundur.
210
G 40 Güvenlik Yönetimi Uygulamalarının Denetimi
3.3.2
3.4
3.4.1
3.4.2
3.4.3
3.5
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.6
3.6.1
BS Denetçisi, kurumun, bir kısmı aĢağıdaki bütün kontrol gereksinimlerinin oluĢturulup oluĢturulmadığını
doğrulamalıdır:
 Gizlilik ve bütünlük
 Kabul edilebilir kullanım
 Varsa yasal gereklilikler
 Tüm tarafların güvenlikle ilgili sorumluluklarının farkında olmasını sağlayan düzenlemeler
 Kurumun iĢ varlıklarının gizlilik ve bütünlüğünü sağlayan kontroller
 Fiziksel ve mantıksal güvenlik gereksinimleri
 DıĢ kaynaklı hizmetlere eriĢilebilirlik
 ÇalıĢanların arka plandan izlenmesi
 Herhangi bir üçüncü tarafın sözleĢmesinde dıĢarıdan sağlanan araçların denetlenmesi hakkını kapsaması.
Varlık Sınıflandırması ve Kontrolü
BS Denetçisi, kurumun varlıkların korunması için bütün bilgi varlıkları için atanmıĢ sahiplik ve hesap
Verilebilirliğin tanımlanıp tanımlanmadığını doğrulamalıdır. Bu tür bir varlık sahipliği ve hesap verebilirlik süreci, koruma
mekanizmalarının tanımlanması dıĢında sigorta ve finansal yönetim gibi değiĢik koruma yöntemlerine karar vermeye
yardımcı olan varlık envanterini de içermelidir. Ayrıca, BS Denetçisi, kurum varlıklarının aĢağıdaki kategorileri içerip
içermediğini de doğrulamalıdır:
 Bilgi varlıkları (örneğin veritabanları, veri dosyaları, iĢ süreklilik planı, ağ Ģeması ve güvenlik mimarisi)
 Yazılım varlıkları (örneğin uygulama ve sistem yazılımı, araçlar ve yardımcı uygulamalar, ilgili lisanslar)
 Fiziksel varlıklar (örneğin bilgisayar ve iletiĢim donanımı, elektronik ortam)
 Hizmetler (örneğin genel altyapı, ısıtma ve aydınlatma)
BS Denetçisi, kurumun, bilginin değerini, bilginin kaybının, bütünlüğünün ya da eriĢilememesinin iĢ
üzerindeki etkisi veya bütünlüğü yada eriĢilememesi, yasal gereksinimlere uygun korunması ve muhafaza edilmesini
kapsayan iĢ açısından duyarlılığını ve kritikliğini esas alınarak bütün bilgi varlıklarının sınıflandırıp sınıflandırılmadığını,
doğrulamalıdır.
BS Denetçisi, kurumun sınıflandırılmıĢ bütün bilgi varlıklarını etiketleyip etiketlemediğini ve değiĢik araçlarla
kopyalama, depolama, aktarma ve yok etme amaçlı iĢleme usullerini tanımlayıp tanımlamadığını doğrulamalıdır. Bu tür
etiketleme, fiziksel veya elektronik olabilir. Ayrıca, BS Denetçisi, bilgi sınıflandırması, etiketlemesi ve iĢleme usullerinin doğru
uygulanmasını sağlamak için uygun izleme süreçlerinin kullanılıp kullanılmadığını doğrulamalıdır.
Personel Güvenliği
BS Denetçisi, kurumun aĢağıdakilerle ilgili durumunu doğrulamalıdır:
 ĠĢ tanımı içinde güvenlik iĢ sorumluluklarını da içeren biçimde iĢe alma aĢamasında güvenlik sorumluluklarının belirtilmesi,
 Özellikle hassas görevlerde, bütün çalıĢanların güvenliğinin izlemesini gerçekleĢtirecek uygulamaların kullanılması
 Herhangi bir üçüncü tarafça ya da çalıĢanlarca gizlilik ya da açıklamama anlaĢmasının imzalanma gerekmesi
 ĠĢ sözleĢmesinde ve koĢullarında bilgi güvenliğinin sorumluluğunun belirtilmesi
BS Denetçisi, kurumun tüm çalıĢanlara ve uygunsa çalıĢanı olmayanlara güvenlik politika ve usulleri hakkında
eğitim programı sağlayıp sağlamadığını doğrulamalıdır. BS Denetçisi ayrıca, kurum içinden kullanıcıları en azından
örnekleme temelinde seçerek kullanıcıların güvenlik riski olasılığını en aza indirmek için bütün güvenlik usullerinden haberdar
olup olmadığını ve bu usullere nasıl bağlı kalacaklarını bilip bilmediklerini doğrulamalıdır.
BS Denetçisi, kurumun aĢağıdakilerle ilgili durumunu doğrulamalıdır:
 Olay müdahale süreçlerini kaydedilmesini ve raporlamasının uygulanması
 Güvenlik raporlaması ve olay müdahale süreçleriyle ilgili olarak tüm kurumun bilgilendirilmesi ve eğitilmesi
 Bilgi sistemlerinde, tanımlanan güvenlik zayıflıklara uygun iyileĢtirme faaliyetlerinin kullanıcılara raporlanmasının
gerekmesi
 Yazılım iĢlev bozukluğunun raporlamasıyla ilgili usullerin uygulanması ve kaydedilmesi,
 Yönetimin yinelenen olayları tanımlamasını ve güvenlik kontrol gereksinimlerini uygun biçimde geniĢletmesini sağlayan
uygun olay raporlama iĢlevselliklerinin kullanılıyor olması
 Güvenlik ihlâli yapan çalıĢanlar için resmi disiplin iĢlemlerinin uygulanması ve kaydedilmesi
BS Denetçisi, kurumda kanıt toplamak için uygun usullerin bulunup bulunmadığını doğrulamalıdır. Bu usuller mutlaka,
ilgili yasal düzenlemelerin zorunlu kıldığı biçimde, yasal mercilere yansıyan (ceza ya da hukuk olabilir) bir kiĢi ya da kurumun
karıĢmıĢ olduğu bilgi güvenlik olayını, yasaların belirlediği uygun kanıtı toplamak, saklamak ve sunmak (gerektiği gibi) için
izleme faaliyetlerinin gerçekleĢtirmesini kapsamalıdır.
BS Denetçisi, kurumun güvenlik ihlâli yapan çalıĢanların iĢ sözleĢmelerinin resmi olarak feshedilmesi sürecinin olup
olmadığını doğrulamalıdır. Bu tür bir resmi süreç Ģunları içermelidir:
 ĠĢ sözleĢmesinin feshedilmesine yol açan koĢullar ve fesih kararının sorumluluğu
 ĠĢ sözleĢmesinin, taĢeronluk sözleĢmesinin ya da üçüncü taraflarla yapılan anlaĢmaların sona ermesi ertesinde
çalıĢanların, taĢeronların ve üçüncü tarafların kendilerine verilmiĢ kurum varlıklarını iade etmelerinin düzenlenmesi
 ÇalıĢanların, taĢeronların ve üçüncü tarafların bilgiye ve bilgi iĢleme araçlarına eriĢimlerinin bunlarla yapılan sözleĢme ya
da anlaĢmaların sona ermesi durumunda kaldırılması (ya da değiĢiklik nedeniyle ayarlanması)
Fiziksel Güvenlik
BS Denetçisi, kurumun ofis binasını fiziksel güvenlik tehditlerine karĢı güven altına almak için uygun güvenlik
kontrollerini kullanıp kullanmadığını doğrulamalıdır. Bu tür kontroller Ģunları içerir:
 Bilgi ve bilgi iĢleme araçlarını içeren alanı korumak için güvenlik çapı
 Güvenli alanlara sadece yetkili personelin giriĢine izin vermek için uygun giriĢ usulleri
 Ofisler, odalar ve araçlar için fiziksel güvenlik
 Doğal ya da insanlarca yapılan felâketlere karĢı fiziksel korunma
 Güvenli alanlarda çalıĢma için fiziksel koruma
 Ağ kabinlerine (telekom kabinleri de dahil) fiziksel eriĢim kontrolü
 Bilgi iĢleme araçlarına yetkisiz eriĢimin gerçekleĢme ihtimali bulunan yükleme ve boĢaltma bölümleri gibi fiziksel konum ve
eriĢim alanlarının ayrılması
211
G 40 Güvenlik Yönetimi Uygulamalarının Denetimi
3.6.2
BS Denetçisi, kurumun varlıkların riske atılmasını, zarar görmesini, kaybolmasını ve iĢ faaliyetlerinin kesintiye
uğramasını önlemek için yeterli fiziksel güvenlik kontrolü uygulayıp uygulamadığını doğrulamalıdır.
Bu kontroller arasında aĢağıdakiler yer alır:
 Telekom ve ağ donanımını da içeren bütün donanımı, çevresel tehdit ve kazalardan kaynaklanan risklerle yetkisiz eriĢim
fırsatlarını veren riskleri azaltmak için korumak
 Destekleme araçlarının uygun bakımlarının yapılarak bunların donanım arızasının bir aksamaya yol açmasının
önlenmesini sağlamak
 Veri ya da destek bilgi hizmeti taĢıyan telekomünikasyon ve güç kablolarının dinlenmeden ya da zarar görmekten
korunması
 Donanımın sürekli eriĢilebilirlik ve bütünlüğünü sağlamak için uygun bakım
 Kurum binaları dıĢında çalıĢmaktan kaynaklanan farklı riskleri dikkate alan dıĢarıdaki donanımı uygun koruma önlemleri
 Ġmha ya da elden çıkarma sırasında herhangi bir donanım ya da depolama ortamındaki duyarlı bilginin ya da lisanslı
yazılımın silinmesini ya da güvenli biçimde üzerine yazılmasını sağlayan kontroller
 EriĢim kartı ya da jetonu gibi eriĢim aygıtlarının devrinden önce duyarlı bilginin silinmesi
 Donanım, bilgi ya da yazılımın kurum dıĢına çıkarılması öncesinde uygun yetkilendirme gereksinimleri
3.7
3.7.1
3.7.2
3.7.3


3.7.4
3.7.5
3.7.6
3.7.7
3.7.8
3.8
3.8.1
ĠletiĢimlerin ve Faaliyetlerin Yönetimi
BS Denetçisi, kurumun iĢletim süreçlerini denetlerken aĢağıdakileri doğrulamalıdır:
 ĠĢletim süreçleri, yayınlanmıĢ, güncellenmiĢ ve ihtiyaç duyan tüm kullanıcılara eriĢilebilir olmalıdır.
 Bilgi iĢleme araçları ve sistemlerinin değiĢikliği, kontrol edilmelidir.
 Görevler ve sorumluluk alanları, kurum varlıklarının yetkisiz, kasıtsız değiĢtirilmesi yada kötüye kullanımı fırsatlarını
azaltmak için ayrılmalıdır.
 GeliĢtirme, test ve iĢletme araçları, iĢletim sistemine yetkisiz eriĢim ya da değiĢiklik riskini azaltmak için ayrılmalıdır.
 Üçüncü taraf hizmet sunumu anlaĢmasında, güvenlik kontrolleri, hizmet tanımları ve sunum seviyeleri, yer almalı,
uygulanmalı ve üçüncü taraflarca sürdürülmelidir. Üçüncü tarafın sağladığı hizmetler, raporlar ve kayıtlar düzenli olarak
izlenmeli, gözden geçirilmeli ve denetlenmelidir.
BS Denetçisi, kurumun aĢağıdakileri yayımladığını ve uyguladığını doğrulamalıdır:
 Gerekli sistem performansını sağlamak için bütün bilgi kaynaklarının gelecekteki kapasite gereksinimini izleyen, ayarlayan
ve projelendiren süreçlere sahip olduğunu,
 Kabul öncesinde ve geliĢtirme sırasında sistem(ler)in uygun biçimde test edilmesini de içeren yeni bilgi sistemlerinin,
güncellemelerin ya da yeni sürümlerin kabul ölçütlerine sahip olduğunu,
BS Denetçisi, kurumun zararlı yazılımlara karĢı korunmak için aĢağıdakileri yerinde kullandığını doğrulamalıdır:
Zararlı kodlara karĢı korunma için tespit, önleme ve iyileĢtirme kontrolleriyle uygun kullanıcı farkındalık usulleri
kontrolleri. Bu korunma önlemleri, virüs korunma yazılımı ve casus yazılımlar ve reklâm yazılımlarını tespit eden ve kaldıran
yazılımların kurulumu ve kullanımını içerebilir
Mobil kod kullanımı yetkilendirmesini, açıkça tanımlanmıĢ güvenlik politikasına uygun yetkilendirilen mobil kod
kullanımının iĢletilmesini sağlayan uygun konfigürasyon kontrolleri ve yetkisiz mobil kod kullanımını önleyen kontroller
BS Denetçisi, kurumun üzerinde anlaĢmaya varılmıĢ yedekleme stratejisini uygulamak için rutin usulleri
oluĢturulduğunu ve uyguladığını doğrulamalıdır: Kurtarma için gerekli kurtarma zamanı, yedekleme hatalarının log
kayıtlarının testi, donanım çevresinin gerektiği gibi izlenmesi. Bu usuller bilginin yedeklenmesi, iĢleticilerin kaydedilmesi ve
hataların kaydedilmesi içermelidir.
BS Denetçisi, bilgi iletilmesi dahil olmak kurumun ağlarını tehditlerden koruyabilmek, ağı kullanan sistemlerin
ve uygulamaların korunmasını sağlamak, ağları yönetmek ve korumak için uygun kontrollerin oluĢturulup oluĢturulmadığını
doğrulamalıdır. BS Denetçisi, ağ hizmetleri sözleĢmesinin olup olmadığını, hizmetlerin kurumdan yada dıĢarıdan sağlanıp
sağlanmadığını, ağ hizmetlerinin güvenlik özellikleri, hizmet seviyeleri ve yönetim gereksinimlerini içerip içermediğini
doğrulamalıdır. Korunma önlemleri, ihtiyaç duyulan saldırın testini kapsayan, güvenlik duvarı kurulumunu ve ağların
taranmasını kapsamalıdır.
BS Denetçisi, kurumun aĢağıdaki resmi usulleri oluĢturup oluĢturmadığını doğrulamalıdır:
 Kullanım gerekliliğinin sona ermesi durumunda aracın güvenli ve emniyetli biçimde boĢaltılması
 Yetkisiz açıklanma ya da kötüye kullanımdan korumasında, bilginin yönetimi ve depolanması
 Yetkisiz eriĢime karĢı sistem dosyalarının korunması
BS Denetçisi, kurumun aĢağıdakileri oluĢturup oluĢturmadığını doğrulamalıdır:
 Bilgiyi, bilgi değiĢiminin her türde iletiĢim aracı kullanılarak yapılmasından korumak için resmi değiĢim politika, usul ve
kontrolleri
 Kurum ve dıĢ taraflar arasında bilgi ve yazılım değiĢimi için sözleĢmeler,
 Kurumun fiziksel sınırlarının dıĢına taĢınacak bilgiyi içeren araçların yetkisiz eriĢime, yanlıĢ kullanıma ya da yolsuzluğa
karĢı korunması
BS Denetçisi, kurumun aĢağıdakileri oluĢturup oluĢturmadığını doğrulamalıdır:
 Birbiriyle bağlantılı iĢ bilgi sistemleriyle oluĢturulan bilginin korunması için politikalar ve usuller
 Elektronik iletilerde kullanılan bilgiyi uygun korunma önlemleri
 Genel ağlardan geçen elektronik ticaret için gerekli bilgiyi, dolandırıcılıktan, sözleĢme uyuĢmazlıklarından, yetkisiz
açıklanma ve değiĢtirilmesinden korunmak için uygun korunma önlemleri
 Çevrimiçi iĢlemlerin tam olarak aktarımını sağlayacak ve yanlıĢ yönlendirmeyi, yetkisiz ileti değiĢtirilmesini, yetkisiz
açıklamayı, yetkisiz ileti çoğaltmayı ya da yanıtlamayı engelleyecek sağlayacak korumalar,
 Genel sistemde eriĢilebilen bilginin bütünlüğünü sağlayacak koruma
Bilgi Varlıklarına EriĢim Kontrolü
BS Denetçisi, kurumun eriĢim için iĢ ve güvenlik gereksinimlerine dayanarak eriĢim kontrol politikasını oluĢturulup
oluĢturulmadığını doğrulamalıdır.
212
G 40 Güvenlik Yönetimi Uygulamalarının Denetimi (DEVAMI)
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.9
3.9.1
3.9.2
3.9.3
BS Denetçisi, kurumun, bütün bilgi sistemlerine ve hizmetlere eriĢimi vermek ve kaldırmak için resmi bir
kullanıcı kayıt ve kayıt silme usulünü oluĢturduğunu ve uygulayıp uygulamadığını doğrulamalıdır. Bu usul Ģunları içermelidir:
a)Ayrıcalıkların sınırlı ve kontrollü tahsisi ve kontrollü ile ayrıcalıkların kullanımı, b) Düzenli aralıklarla kullanıcıların eriĢim
haklarının gözden geçirilmesi, c) EriĢimin zamanında kaldırılması.
BS Denetçisi, kurumun aĢağıdakileri sağlamak için kontrolleri oluĢturup oluĢturmadığını ve uygulayıp uygulamadığını
doğrulamalıdır:
 Bilgi kullanıcılarının parola seçiminde ve kullanımında iyi güvenlik uygulamalarını izlemeleri gereklidir.
 Yönetici/ayrıcalıklı eriĢime sahip olanların, daha güçlü parolalar kullanması ve bunların diğerlerine kıyasla daha sık
değiĢtirilmiĢtir. (öte yandan güçlü parolalar her kullanıcı için en iyi uygulamadır)
 Bilgi kullanıcılarının, kullanılmayan araçlarının uygun koruma sahip olmasının sağlanması sağlanmıĢtır.
 Bilgi kullanıcılar, basılı belgeler ve çıkarılabilir depolama aygıtları için temiz masa politikası ve bilgi iĢleme aygıtları için
temiz ekran politikası uymaktadır..
BS Denetçisi, kurumun aĢağıda ağ eriĢim kontrolleriyle ilgili olanları yazılı hale getirip getirmediğini ve uygulayıp
uygulamadığını doğrulamalıdır:
 Uzaktaki kullanıcıların eriĢiminde uygun doğrulama ve yetkilendirme yöntemleri
 Tanılamak ve konfigürasyon giriĢlerine fiziksel ve mantıksal eriĢim kontrolleri
 Ağlardaki, bilgi hizmetleri, kullanıcılar ve bilgi sistemlerinin gruplarının ayrılması. Bunlar, özellikle kurumun sınırları
dıĢından olanlar olmak üzere paylaĢılan ağlar için kullanıcılara, iĢ uygulamalarının gereksinimleriyle ve eriĢim kontrol
politikalarıyla uyumlu bağlanma yeteneği sağlayan uygun kısıtlamaları içermelidir.
 Bilgisayar bağlantılarının ve bilgi akıĢının iĢ uygulamaları eriĢim kontrol politikasını ihlal etmemesini sağlayan yönlendirme
kontrolleri
BS Denetçisi, kurumun iĢletim sistemine eriĢimden korumak için aĢağıdakileri oluĢturup oluĢturmadığını ve uygulayıp
uygulamadığını doğrulamalıdır:
 ĠĢletim sistemine güvenli giriĢ usulü
 Sadece bireysel kullanıma yönelik olarak kurum bünyesindeki herkes için eĢsiz tanımlayıcı (kullanıcı kimliği) ve kullanıcının
iddia ettiği kiĢi olduğunu doğrulayan uygun doğrulama tekniği
 ġifre yönetimi için etkileĢimli sistem ve parola kalitesini sağlamak
 Uygulama kontrolleri ve sistem üzerine yazma yapabilecek destek programlarını eriĢimi kısıtlayan kontroller
 Kullanılmayan sürenin tanımlanmasının ardından etkin olmayan oturumların kapatma kontrolü
 Yüksek riskli uygulamalara ek güvenlik sağlamak için bağlantı zamanı kısıtlamaları
BS Denetçisi, kurumun uygulamalara eriĢim kontrolüyle ilgili olarak aĢağıdakileri yazılı hale getirip getirmediğini ve
uygulayıp uygulamadığını doğrulamalıdır:
 Kullanıcılar ve destek personeli tarafından bilgi ve uygulama destek birimlerine tanımlanmıĢ eriĢim kontrol politikalarına
uyumlu eriĢimin sağlanması
 Hassas uygulamaların korumak için bilgisayar çevresinden yalıtılması
BS Denetçisi, sisteme eriĢimi ve kullanımı için aĢağıdakilerin yazılı hale getirilip getirilmediğini ve uygulanıp
uygulanmadığını doğrulamalıdır:
 Mobil bilgisayar ve iletiĢim araçları risklerden korumak için resmi politikalar ve uygun güvenlik önlemleri
 Bilgi güvenlik olaylarını, ayrıcalıkları ve kullanıcı faaliyetlerini kaydetmek için denetim kütükleri ve gelecekteki
soruĢturmaları ve eriĢim kontrol izlemesine yardım etmek için üzerinde anlaĢılan bir süre boyunca bu kütükleri saklama
usulleri
 Bilgi iĢleme araçlarının kullanımının izlenmesi ve izleme faaliyetlerinin sonuçlarının gözden geçirilmesi usulleri
 Onaysız değiĢikliklere ve yetkisiz eriĢimlere karĢı bilgi log kayıtlarının ve loglama araçlarının korunması kontrolleri
 Sistem yöneticilerinin ve sistem iĢletmenlerinin faaliyetlerinin kaydedilmesi ve BT yönetici faaliyetlerinin düzeli aralıklarla
izlenmesi usulleri
 Hataların kaydedilmesi, analiz edilmesi ve önlem alma usulleri
 Üzerinde anlaĢılmıĢ bir doğru zaman kaynağına göre güvenlik alanı ya da kurum içindeki bütün ilgili bilgi iĢleme
sistemlerinin saatlerinin eĢ zamanlı hale getirilmesi
BS Denetçisi, kurumun aĢağıdakileri tamamlayıp tamamlamadığını doğrulamalıdır:
 Ġç ve dıĢ saldırılar ve bunların kurum ağı, bilgi sistemi ve uygulamaları üzerindeki etkilerinin, tehdit ve zayıflıklarının Ģekli
değerlendirmesi
 Kurum ağına yapılan bir izinsiz giriĢi zamanında tanımlamak için izinsiz bir saldırı tespit mekanizmasının kullanılması,
 Bilgi sistemlerinin mevcut güvenlik seviyesinden ödün vermeksizin sistem için gerekli güvenlik yamalarının ve diğer
yamaların uygulanması için yeterli usuller
 Herhangi bir güvenlik olayını önleyici, tespit edici ve düzeltici planlar
Sistem GeliĢtirme ve Bakımın OluĢturulması ve Uygulanması
BS Denetçisi, iĢ için yeni bilgi sistemi gerekliliğinin ifade edilip edilmediğini, ya da var olan bilgi
sisteminin güçlendirilip güçlendirilmediğini, güvenlik kontrolleri gereksinimlerinin tanımlanıp tanımlanmadığı doğrulamalıdır,
aĢağıdakileri içermelidir:
 Uygulama sistemlerine eriĢim kontrolü,
 Verinin doğruluğunu ve uygunluğunu sağlamak için uygulamalara veri giriĢinin doğrulanması gerekliliği,
 Kasti hareketler ya da iĢleme hatalarıyla bilgide herhangi bir bozulmayı belirlemek için uygulamadaki kontrollerin
doğrulanması
 Uygulamalarda iletinin bütünlüğünün sağlanması ve doğrulanması ihtiyacı
 DepolanmıĢ bilginin doğru iĢlenmesini ve koĢullara uygun olmasını sağlamak için doğrulanmıĢ uygulama verisi çıktısının
doğrulanması
BS Denetçisi, kurumun, bilginin korunması için kriptografik kontrolleri kullanım politikasını oluĢturup
oluĢturmadığını ve uygulayıp uygulamadığını doğrulamalıdır. Bu kontroller, kurumun kritografik tekniklerini kullanımını
desteklemek için anahtar yönetimi de içermelidir.
BS Denetçisi, kurumun iĢletim sistemine yazılım kurulumunu ve program kaynak kodlarına eriĢimi kontrol etmek için
usuller oluĢturup oluĢturmadığını doğrulamalıdır.
213
G 40 Güvenlik Yönetimi Uygulamalarının Denetimi (DEVAMI)
3.9.4
3.9.5
3.10
3.10.1
3.11
3.11.1
3.11.2
3.11.3
4.
4.1
4.1.1
4.1.2
4.1.3
4.1.4
4.1.5
5.
5.1
5.1.1
5.1.2
6.
6.1
6.1.1
6.1.2
6.1.3
7.
7.1
BS Denetçisi, kurumun resmi değiĢiklik kontrol usulleri oluĢturup oluĢturmadığını doğrulamalıdır. Bu usuller
aĢağıdakileri içermelidir:
 Kurumsal iĢleyiĢ ya da güvenlikte ters bir etkisinin olmadığından emin olmak için iĢletim sistemleri değiĢtirildiğinde kritik iĢ uygulamalarının
test edilmesi ve gözden geçirilmesi.
 Yazılım paketlerindeki değiĢikliklerin gerekli değiĢikliklerle sınırlanması ve değiĢikliklerin kontrol edilmesi.
 DıĢarıdan sağlanan yazılım geliĢtirmesinin izlenmesi.
 Kullanılan bilgi sistemlerinin teknik zayıflıkları hakkında zamanında bilgi sağlamak için, bu zayıflıklara karĢı açıkların olmasını
değerlendirmeyi ve vurgulanan riske uygun önlemleri almayı da içeren girdi süreçleri,
BS Denetçisi, sistemin geliĢtirilmesi ve uygulanması ertesinde, sistemin iĢ ve kontrol gereksinimlerini karĢılayıp
karĢılamadığını değerlendirmek için sistemin uygulama sonrası gözden geçirmeyi gerçekleĢtirmelidir.
BS Denetçisi bazı durumlarda, zamanında iyileĢtirme için, uygulamadan önce zayıflıkları tanımlamak ve geliĢmelerin kontrol edilmesi amacıyla
uygulama öncesi sistemin gözden geçirilmesi de gerçekleĢtirebilir.
ĠĢ Sürekliliği Yönetimi
BS Denetçisi, kurumun aĢağıdakileri oluĢturup oluĢturmadığını doğrulamalıdır:
 Kurumun iĢ sürekliliği için gereken bilgi güvenlik gereksinimlerine iĢaret eden tüm kurumu içine alan iĢ süreklilik planı için yönetim süreci,
 ĠĢ süreçlerinde kesinti yaratabilecek olayları ve bilgi güvenliği için bu kesintilerin ihtimalini ve etkilerini ve sonuçlarını tanımlayan bir süreç.
Bu, felaket olayı müdahale yönetimi ve ilgili usulleri de içermelidir.
 Gerekli seviyede ve gereken zaman ölçeğinde, kritik iĢ sürecindeki kesinti ya da arıza durumunu izleyen aĢamada süreçleri ve iĢleyiĢin
sürdürülmesi ve düzeltilmesi ve bilgi kullanılabilirliğini sağlayan planlar.
 Bütün planlar, bilgi güvenlik gereksinimlerine iĢaret etmede tutarlılık ve test ve bakım önceliklerinin tanımlanmasını sağlayan tek bir iĢ
süreklilik plan çerçevesi.
 ĠĢ süreklilik planlarının, güncel ve etkili olduklarından emin olmak için, test edilmesi ve düzenli güncellenmesi. BS Denetçisi, uygun olan
yerlerde yönetimin iĢ sürekliliği planı test sürecini gözlemleyebilir.
 Kurum içinde iĢ süreklilik sürecine katılımı tanımlanmıĢ olanların sorumlulukları hakkında eğitim/farkındalık sağlama planları
Uygunluk
BS Denetçisi, kurumun aĢağıdakileri yapıp yapmadığını doğrulamalıdır:
 Bir bütün olarak ilgili bütün yasal, düzenleyici ve sözleĢme gereksinimlerinin tanımlanmıĢ, dosyalanmıĢ ve güncel tutuluyor olması ve kurumun her
bir bilgi sisteminin gereksinimleri karĢılanmasının kurumsal yaklaĢımının tanımlanmıĢ, belgelendirilmiĢ ve güncellenmesi,
 Fikri hakları ve fikri mülkiyet haklarının olabileceği yazılım ürünlerini de içerebilecek olan materyallerin kullanımında hakkındaki yasal, düzenleyici
ve sözleĢme gereksinimlerine uygunluğu sağlayacak uygun usullerin kullanılması
 Yasal, düzenleyici, sözleĢme ve iĢ gereksinimlerine uygun biçimde önemli kayıtların kaybolmaktan, yok olmaktan ve tahrifattan korunması
 Ġlgili yasal, düzenleyici ve eğer varsa sözleĢme maddeleriyle uyumlu gerektirdiği biçimde veri koruma ve gizlilik kontrollerinin uygulanması
 Kullanıcıları, bilgi iĢleme araçlarını yetkisiz amaçlarla kullanmaktan caydıran kontrollerin uygulanması
 Kurumun tamamında kurulu olan yazılımların lisanslı ya da açık kaynaklı olması gerekliliğinin kontrollerinin uygulanması,
 Ġlgili bütün anlaĢmalar, yasalar ve düzenlemelere uygun biçimde Ģifreleme kontrollerinin uygulanması
BS Denetçisi, kurumun aĢağıdakilerle uygunluğu sağlamak için bir süreç oluĢturup oluĢturmadığını doğrulamalıdır:
 Müdürlerin, kendi sorumluluk alanlarındaki bütün güvenlik süreçlerini, güvenlik politika ve standartlarıyla uyumlu biçimde baĢarmalarının
sağlanması
 Bilgi sistemleri güvenlik uygulama standartlarına uygunluk açısından düzenli olarak kontrol edilir
BS Denetçisi, kurumun aĢağıdakileri sağlamak için bir süreç oluĢturup oluĢturmadığını doğrulamalıdır:
 ĠĢletim sistemlerinin kontrolünü içeren denetim gereksinimleri ve faaliyetleri, iĢ süreçlerinde aksamaya yol açmayı en aza indirmek için
planlanmıĢ ve üzerinde anlaĢılmıĢtır
 Bilgi sistemleri denetim araçlarına eriĢim muhtemel yanlıĢ kullanım ya da riske etme ihtimalini önlemek için korunur
DENETĠM SÜRECĠ
Planlama
BS Denetçisi, denetimin kapsamı zamanlaması ve hedefleri içeren, kurumun risk değerlendirmesi ve risk yönetim
stratejisini temel alan, kurumun güvenlik yönetim sistemini gözden geçirmek için bir denetim programı hazırlamalıdır. Raporlamanın
düzenlemeleri, denetim programında açıkça yer almalıdır. Kuruma, paydaĢlarına, büyüklüğüne ve doğasına dikkat edilmelidir. BS Denetçisi,
kurumun misyonunu, iĢ hedefleri, kurumun bilgi varlıkları, teknoloji altyapısı ve güvenlik yönetim pratiklerini tam olarak anlamalıdır.
Kurumsal yapının, özellikle güvenlik yönetim uygulamalarını yaratan, bildiren, izleyen ve bunlara kurum içinde
uyulmasından sorumlu anahtar personelin rol ve sorumluluklarını anlaĢılması gereklidir. Anahtar role sahip diğer personeli, bilgi yöneticileri,
sahipleri ve danıĢmanları kapsar.
Denetim planlama aĢamasının birincil hedefi, denetimin hedefine ulaĢmasında kurumun karĢılaĢacağı güvenlikle ilgili
tehditleri ve riskleri anlamak ve yüksek riskli alanları vurgulayan gözden geçirmenin kapsamını tanımlamaktır..
Uygun örnekleme teknikleri, eğer uygulanabiliyor ise test sonuçlarını ölçmek denetim planlamasında dikkate
alınmalıdır.
Önceki denetim raporu gereklidir ve çözümün seviyesi yönetim eylem planına göre her bir konuyu değerlendirilmedir.
GÖREVĠN YÜRÜTÜLMESĠ
Denetim Görevi
BS Denetçisi, kurumun güvenlik yönetim hedeflerinin uygun biçimde baĢarıldığının güvencesini sağlamak için güvenlik yönetimi sistemi
ve uygulamalarının ayrıntılı ve bağımsız gözden geçirmesini gerçekleĢtirmelidir.
BS Denetçisi, bu tür bir güvenceyi sağlamak için bu rehberde çerçevesi çizilen güvenlik yönetim pratiklerinin bütün yanlarını gözden
geçirmelidir.
RAPORLAMA
Rapor OluĢturulması ve Denetim Sonrası Ġzleme
Taslak denetim raporu, hazırlanmalı ve ilgili personelle birlikte ele alınmalıdır. Sadece kesin kanıtlarla desteklenen konuları içermelidir.
Rapor, ISACA Rehberleri yol göstericiliğiyle son haline getirilmeli ve yönetime ya da yönetim kuruluna, kullanılabilir ve
uygunsa sorunların çözülmesi/giderilmesi önerileri ve denetim sonrası izleme seçenekleri içerilerek sunulmalıdır. Özellikle duyarlı güvenlik
kusurları için, raporun dağıtımı yönetim kurulu ya da uygun yönetim seviyesi ile sınırlandırılmalıdır.
Üst yönetim ve/veya yönetim kurulu tarafından verilen denetim sonrası izleme faaliyetleri, hareket planları,
sorumluluklar, hedef tarihler, kaynaklar ve öncelikler üstünde anlaĢmaya varılmalıdır.
YÜRÜRLÜK TARĠHĠ
Bu rehber, 1 Aralık 2008 tarihinde ve sonrasında baĢlayan bütün BS Denetimleri için yürürlüktedir.
214
G 41 GÜVENLĠK YATIRIMININ GERĠ DÖNÜġÜ (ROSI)
1.
ARKA PLAN
1.1
1.1.1
Standartlarla Bağlantı
S10 BT yönetiĢimi standardı, ―BT denetim ve güvence uzmanlarından aĢağıdakilerin gözden geçirmeli:
 BT biriminin kurumunn misyonu, vizyonu, değerleri, amaçları ve stratejileriyle uyumlu olup olmadığını değerlendirmesi ve
denetlemesini,
 BT biriminin iĢten beklenen performans (etkililik ve etkinlik) ve bunun baĢarısının değerlendirilmesi hakkında açık
bildirimlerinin olup olmadığı
 BT kaynaklarının ve performans yönetim süreçlerinin etkililiğini değerlendirmelidir.‖ Ģeklinde ifade eder.
COBIT‘le Bağlantısı
Belli bir denetim kapsamında uygulanabilir en ilgili COBIT materyalinin seçimi, belli COBIT BT süreçlerinin seçimine ve
COBIT kontrol amaçlarının ve ilgili yönetim uygulamalarıyla iliĢkisini dikkate alınmasına bağlıdır. BT Denetim ve güvence
uzmanlarının güvenlik yatırımlarının geri dönüĢünü karĢılama ihtiyacını karĢılamak için, aĢağıdaki gibi birincil ve ikincil
olarak sınıflandırılan ve COBIT‘teki süreçlerle en iliĢkili olabilen seçilir ve uyumlaĢtırılır. Seçilen ve uyarlanan süreç ve kontrol
hedefleri, görevin özel kapsam ve Ģartlarına uygun biçimde değiĢebilir.
Birincil BT süreçleri aĢağıdadır:
 PO1 Stratejik BT planının tanımlamak
 PO3 Teknoloji yönelimini belirlemek
 PO5 BT yatırımını yönetmek
 PO9 BT risklerini değerlendirmek ve yönetmek
 DS3 Performans ve kapasite yönetmek
 DS6 Maliyetlerin tanımlamak ve tahsis etmek
 ME1 BT performansını izlemek ve değerlendirmek
 ME4 BT yönetişiminin sağlamak
Ġkincil BT süreçleri aĢağıdadır:
 PO6 Yönetimin amaç ve yönünü bildirmek
 AI1 Otomatik çözümleri tanımlamak
 AI5 BT kaynakları satın almak
 ME3 Düzenleyici uyumunu sağlamak
ROSI ile en ilgili bilgi ölçütleri aĢağıdadır.:
 Birincil-Etkililik, etkinlik ve kullanılabilirlik
 Ġkincil-Gizlilik, bütünlük ve güvenirlik
1.2
1.2.1
1.2.2
1.2.3
1.2.4
1.3
1.3.1
1.3.2
1.3.3
1.4
1.4.1
1.4.2
1.4.3
1.5
1.5.1
1.5.2
Kılavuzun Amacı
KuruluĢlar için BT güvenliği yatırımlarını yapmak giderek daha sıkıntı verici bir duruma gelmektedir. ROSI‘nin açıkça
tanımlanması, kuruluĢların iĢ amaçlarını gerçekleĢtirmesinde kritiktir. Makul derecede net bir ROSI öngörüsünde
bulunabilmek için, kurum güvenlik ihtiyaçlarını, en uygun ROSI önlemlerini belirlemeye ve ROSI ölçümü için toplanması
gereken bilgilerin ölçütlerini oluĢturmaya ihtiyaç duyar. Günümüzde yapılan kurumsal faaliyetleri, bir yandan güvenlik
önlemlerinin öneminin diğer yanda da güvenlik ihmalinin kurumsal faaliyetlere etkilerine dair risk ve sonuçların öneminin
farkındadır. Karar alıcılar, güvenlik önlemlerinin etkililiğimi sağlamak için düzenli aralıklarla güvenlik önlemlerini ölçmesi,
gözden geçirmesi ve iyileĢtirmesi gereklidir. Ayrıca, iç, dıĢ ve mevzuat uygunluğu, güvenlik amaçlarının sürekli geliĢiminin
sağlamak için gerekmektedir.
KuruluĢlar, ROSI uygunluğunu etkili biçimde baĢarmak için güvenlik ölçütlerine dair değerli önerileri görmezden gelecek
kadar güçlü değildir. Ölçülebilir kullanıcı gereksinimlerinde güvenlik önlemleri, etkili güvenlik önlemlerini tanımlamak için
üzerinde anlaĢmaya varılan bir yaklaĢımı içeren yol haritası geliĢtirmek ve sürekli geliĢen ROSI oluĢturmak için düzenli
değerlendirmeler yapmak önemlidir.
BT denetim ve güvence uzmanları, ROSI için önerilerin değerini açıkça kavrayabilmelidir. Bu bağlamda, BT denetim ve
güvence uzmanlarına, denetim görevleri sırasında güvenlik yatırımlarının geri dönüĢünü gözden geçirirken yol gösterecek bir
kılavuza gerek duyulmaktadır.
Kılavuzun Uygulanması
Bu kılavuz, S10 BT YönetiĢimi Standardının uygulamasında yol göstericilik sağlar.
BT denetim ve güvence uzmanı, yukarıdaki standardın baĢarılı biçimde uygulanmasında bu kılavuzu göz önünde
bulundurmalı, uygulamada kendi kiĢisel yargılarını kullanmalı ve kılavuzdan ayrıldığı noktaları gerekçelendirmeye hazır
olmalıdır.
BT denetim ve güvence uzmanı, bu kılavuzun uygulamasında, bunun diğer ilgili ISACA standart ve kılavuzlarıyla iliĢkisini
dikkate almalıdır.
Risk Yönetimi
Bilgi varlılarının güvenliğinden sorumlu olanlar, sorumlu üst yönetim ile kuruluĢun bilgi varlıklarını yöneten iĢ
sahibinin/sahiplerinin iĢbirliğiyle düzenli risk değerlendirmesi geliĢtirilmelidir. Özellikle, kurum ve iĢ süreç sahipleri risk
değerlendirmeleri, belirtilen kontrol katmaları, BT denetim ve güvence uzmanı tarafından, kontrol ortamının anlaĢılmasını
sağlamak için değerlendirilmelidir. Örneğin, iĢ süreç sahibi tarafından, kritik bilgi varlıklarına eriĢimin yeniden geçerli
kılınmasına dair yapılan düzenli önleyici kontrollerin yeterliliğinin değerlendirilmesini de içeren risk değerlendirilmesinin
gerçekleĢtirilmesi dikkate alınmalıdır.
Güvenlik mühendislerinin/yöneticilerinin kurum açısından söz konusu olabilecek olan, karmaĢıklığı yüksek düzeyde kalıtsal
risk sorunu vardır ki bunun tam olarak anlaĢılamayabilmesi ve gerekli risk azaltıcı kontrol süreçlerini tanımlanamaması
sonucunda ortaya çıkabilir. Örneğin, bilgi varlıklarının güvenliği açısından sunucu güvenlik kontrollerine ek olarak ağ
iletiĢiminin çeĢitli giriĢ ve çıkıĢ noktalarında teknik kontrollere gerek duyulabilir. Bu bağlamda, bütün güvenlik risklerini tam
olarak anlamak için, sunucu eriĢim kontrolleri üzerinde temel bilgilere sahip bir güvenlik yöneticisine ek olarak ağ güvenliği
için bir güvenlik uzmanına gerek duyulabilir. Böylece, bu risk değerlendirmesindeki kalıtsal risk, kuruluĢun maruz kaldığı
bütün riskler olanaklar ölçüsünde yeterlice tanımlanıp, miktarı belirlenip azaltıldıktan sonra kalan söz konusu risktir. Buna
göre, BT alanında muhtemel bütün risklerin tanımlanabilmesi ve gerekli azaltıcı kontroller için sondan sona güvenlik
kontrollerinde bilgili çok sayıda uzmanlarca yapılacak bağımsız bir değerlendirmeye ihtiyaç duyulabilir.
215
G 41 GÜVENLĠK YATIRIMININ GERĠ DÖNÜġÜ (ROSI) (Devamı)
1.5.3 Bağımsız denetimi gerçekleĢtirecek olan denetçinin, risk düzeyiyle orantılı gerekli kontrol sürecini ve/veya risk düzeyini
yeterince anlamamaktan dolayı oluĢturduğu kalıtsal risk de söz konusudur. Ayrıca, denetçinin, risk alanının her zaman tam
olarak kapsanamaması sonucunu doğurabilen ölçek ekonomisi faktörünü ya da benzer kısıtlı yöntemler dolayısıyla kontrollerin
etkinliği ve yeterliliği noktasında uygun sonuca ulaĢamama ihtimali vardır. Bu durumda yönetim, denetimin, denetçinin bütün
kontrollerin yeterliliğini tam olarak tanımlamasını, test etmesini ve sonuçlandırmasını güvence altına almadığı gerçeğinin
farkında olması gereklidir. Bu durumda, kuruluĢun bilgi varlıklarının büyüklüğü, karmaĢıklığı ve önemi bağlamında denetçinin
değerlendirmesine ilave bir bakıĢ ve bağımsız değerlendirme, bir güvence oluĢturabilir.
2.
ROSI
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.2
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.2.6
GiriĢ
Bir kurum için ROSI, manĢetlere bilgisayar korsanlarının, virüslerin ve siber teröristlerin çıktığı günümüz dünyasında önemli bir
önlemdir. Güvenliğin bir öncelik noktasına geldiği iĢletmeler için aĢağıdaki gibi soruların yanıtlanması gerekli olmuĢtur:
 ĠĢletme ne kadar güvenli?
 Ne kadar güvenlik yeterlidir?
 ĠĢ açısından makul güvenlik düzeyi nasıl bilinebilir?
 Güvenlik yatırımları nasıl gerekçelendirilmelidir?
 Güvenlik için yatırılması gereken para ve harcanması gereken zaman ne kadardır?
 Hangi sistem unsurları ya da diğer açılar öncelikle hedef alınmalıdır?
Özellikle, ROSI‘nin birincil temeli, maliyetlerin (güvenlik duvarları, güvenlik ihlalinin yol açtığı maliyetler, art yedekleme
maliyeti ve aĢırıya kaçan sistem unsurlarının maliyetleri gibi) ve siber güvenlik ihlallerinin ve bunların yol açtığı
kayıpların gerçekleĢme ihtimalini azaltan önleyici ve düzeltici avantajların kıyaslanmasıdır.
Risk ölçümü, bütün BT ilintili etkileriyle birlikte sistem eriĢilebilirliğide, veri doğruluğunda ve bilgi gizliliğinde belirtilir.
Yönetimdeki karar vericiler, güvenliğin toplamdaki etkisini anlamak isterler. Güvenlik harcama miktarının belirlemesini yapmak
için aĢağıdakileri bilmeye gereksinirler:
 Güvenlik eksikliğinin iĢe maliyeti ne kadardır?
 Güvenlik eksikliğinin verimlilik üstünde etkisi nedir?
 Katastrofik bir güvenlik ihlalinin etkisi ne olacaktır?
 Maliyet-etkin çözümler nelerdir?
 Çözümlerin üretim üzerine etkisi neler olacaktır?
 Açık azaltılabiliyor mu?
ROSI, BT güvenlik harcamalarının etkililiği ve etkinliğini ölçmeye yardım eden bir anahtar performans göstergesidir.
Yukarıdan aĢağıya doğru giden, kullanımdaki performans değerlendirme ve planlama için, BT güvenlik harcamalarıyla bunun
verimliliğini somut ve karĢılaĢtırmalı olarak ortaya koyan bir ölçüm birimidir.
Kurum, ROSI‘yi tanımlamasıyla, uygun düzey BT güvenlik harcamasını ve iĢi korumak için gerek duyulan uygun düzey
güvenliği belirlemeye izin veren bir araca sahip olur.
Müdürler, uygun planlamayla, tekil bir iĢlem için kuruluĢun iĢletme giderlerinin faydasını ya da bu ayrı zaman diliminin ötesine
geçen sermaye yatırımının siber güvenlik etkinlikleri ufkunda ayırt edebilmelidirler.
ROSI Belirlemesi
Maliyetlerin tanımlanması ve tahsisi ROSI ilkelerinin kullanılmasının temelidir. Doğrudan giderler, belirli siber güvenlik
ihlalleriyle iliĢkilenebilirken dolaylı giderler (Örneğin, çok sayıdaki güvenlik ihlalleri için kapsamlı kontroller sağlayan izinsiz giriĢ
tespit sistemleri) herhangi belli bir ihale doğrudan iliĢkilendirilemez.
Diğer bir nitelendirme de açık ve gizli maliyetlerdir. Açık maliyetler ölçülebilir, örneğin, güvenlik duvarlarının geliĢtirilmesi ve
sürdürülmesi, diğer yandan gizli maliyetler ―kayıp fırsatlar‖ olarak adlandırılabilir, örneğin, ün kaybı, anlamsız öngörü gibi.
Tahmin etmenin kolaylığına bakmaksızın, açık ve gizli maliyetler, bir biçimde sayısallaĢtırılarak maliyet-fayda analizlerinde
içerilmelidirler.
Yatırım geri dönüĢü (ROI) belirlemede genelde kullanılan eĢitlik Ģudur:
ROI= Beklenen getiriler - Yatırım maliyeti
Yatırım maliyeti
ROSI için kullanılabilecek çok sayıda ölçüm yöntemi vardır. Örneğin, farklı zaman dilimleri için beklenen fayda ve
maliyetleri karĢılaĢtıran net bugünkü değer (NPV) vardır. Ayrıca, bir NPV çeĢidi olan iç getiri oranı (IRR), yatırımın NPV‘sini
sıfıra eĢitleyen indirim oranını belirler. Bu yöntemlerin tamamı, artan siber güvenlik etkinliklerini kabul etmek ya da
reddetmek için bir karar kuralı sağlar.
ROSI hesaplaması çizelgesi, paranın zaman değeri dikkate alınmaksızın, önleme maliyetine dayandırılarak, Ģekil 1‘de
gösterilmiĢtir.
Risk açıklığı hesaplamasında, tek açık kaybının (SLE) öngörülen maliyetiyle beklenen yıllık gerçekleĢme oranı (ARO)
çarpılır.
Risk açıklığı = SLE * ARO
SLE ve ARO tahmin yöntemleri, geçmiĢ deneyimlerden dahili olarak
çıkarılan ya da dıĢ kaynaklardan elde edilen ölçümleri temel alır.
Idaho Üniversitesi‘nde (ABD) yapılan araĢtırmalar ROSI‘yi ortaya çıkan olaydan sonraki iyileĢtirme maliyetlerini temel alarak
açıklar:
ROSI = R – yıllık kayıp beklentisi (ALE), ALE = (R – E) + T, örneğin ROSI = E – T
‗R‘, herhangi sayıdaki yıllık saldırıyı iyileĢtirme maliyetidir, ‗E‘ ise güvenlik aracı kullanımı sonucunda elde tutulabilen paradır,
‗T‘ de saldırı tespit aracın maliyetidir.
2.2.7
216
G 41 GÜVENLĠK YATIRIMININ GERĠ DÖNÜġÜ (ROSI) (Devamı)
ġekil 1 – ROSI Hesaplaması (Paranın zaman değeri dikkate alınmaksızın, önleme maliyetine dayandırılarak)
Seçenekler
#
Sayılar 000lar olmak zorundadır
A
B
C
i
ii
iii
iv
Mali yatırım düzeyi
Yatırım olmaksızın siber güvenlik ihlallerinin yol açtığı
toplam potansiyel kayıp
i'de belirtilen her mali yatırım düzeyinde kayıp olasılığı
Her yatırım düzeyinde beklenen kayıp
(iv) = (ii) x (iii)
D
0
10,000.00
650.00
10,000.00
1,300.00
10,000.00
1,950.00
10,000.00
.75
7,500.00
.50
5,000.00
.40
4,000,00
.33
3,300.00
ġekil 1 – ROSI Hesaplaması(Paranın zaman değeri dikkate alınmaksızın, önleme maliyetine dayandırılarak)
Seçenekler
#
Sayılar 000lar olmak zorundadır
A
B
C
D
Ġ
5,250.00
Beklenen toplam siber güvenlik maliyetleri eĢittir yatırım 7,500.00
5,650.00
5,300.00
maliyetleri artı ihalelerden kaynaklanan beklenen
kayıplar (v) = (i) + (iv)
ii
Yatırım düzeyindeki artıĢın sağladığı artan faydalar, Yok
2,500.00
1,000.00
beklenen kayıplarda azalma, örneğin, ek yatırımla (v)
değerinde azalan değerler
iii
Yatırım düzeylerinde yükselen yatırım düzeylerinde artıĢ, Yok
650.00
650.00
örneğin ham i değerlerinde artıĢ
i