BİLGİ TEKNOLOJİLERİ (BT) DENETİMİ (IT AUDIT) - (Ek: Checklist)

Bilgi teknolojileri (BT) denetimini tanımlamak gerekirse; “bir işletmenin veya organizasyonun bilgi teknoloji sistemleri, sistemlerin yönetimi ve operasyonları ile bunlarla ilişkili süreçlerin denetlenmesidir” diyebiliriz.


BT denetimi;

  • Düzenleyici otoritenin talebi üzerine zorunlu veya

  • İhtiyari olarak isteğe bağlı yapılabilir.

Türkiye’de Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından bankaların bilgi sistemleri ve bankacılık süreçlerinin denetimi zorunludur. Söz konusu denetimi, çıkarılmış olan yönetmelikte aranan şartları sağlayan BDDK tarafından yetkilendirilmiş bağımsız denetim kuruluşlar yapabilir.


Ancak özellikle bankacılık sektörü dışında kalan bağımsız denetime tabi işletmelerin BT denetimleri diğer bağımsız denetim kuruluşları ve denetçiler tarafından ihtiyari olarak yapılması pek tabi mümkündür.


Günümüzde birçok işletmenin muhasebe kayıt sistemleri, verdikleri hizmet ve operasyonlarında yüksek oranda bilgisayarlar aracılığıyla yapıldığından, söz konusu işletmenin bağımsız denetimi yapılırken BT kontrollerini yapıp, sistem ve süreçleri incelemeye ihtiyaç vardır.


Denetim Türleri:


BT denetiminin yapılma amaçları aşağıdaki gibi sıralanabilir:

  • İşletmelerin finansal tabloları üzerinde etkisi olan BT sistemlerinden gelen verilerin güvenilirliğinin değerlendirilmesi.

  • BT ile ilgili halihazırda yürürlükte olan yasalar, politikalar ve standartlara uyum düzeyinin belirlenmesi.

  • BT sistemlerinin kullanımı ve yönetiminde gereksiz ve aşırı uygulamalar neticesinde verimsizliğin olup olmadığını tespit ve kontrol edilmesi.

BT Denetimi Neden Önemli?

Birçok işletme Bilgi Teknolojilerine çok büyük bedeller harcamaktadır. Örneğin orta büyüklükte bir işletmenin bir ERP sistemine yaptığı teknolojik yatırımın ve devamında alınan hizmetin maliyeti şüphesiz ne kadar maliyetli olduğunu herkes tarafından bilinmektedir. Bu sebeple, BT sistemlerinin güvenilir, aynı zamanda olası teknolojik saldırılara karşı güvenli, savunmasız olmamaları gerekir.


BT denetimi önemlidir. Çünkü denetim; BT sistemlerinin yeterince korunduğuna, karar alıcı ve bilgi kullanıcılarına güvenilir bilgi sağladığına ve amaçlanan faydalarını elde etmek için uygun şekilde yönetildiğine dair güvence sağlar.


İşletmelerde çoğu kullanıcı bilgisayarların nasıl çalıştığını ve algoritmalarının nasıl olduğunu bilmeden bilgi teknolojilerine güvenir. Ancak bir bilgisayar hatası süresiz olarak sonsuza dek tekrarlanabilir ve insan hatasından çok daha fazla hasara neden olabilir.


BT denetimi aynı zamanda veri tahribatı, onaysız değişiklik yapma, sisteme dışarıdan sızıntı, hizmetin kesilmesi ve BT sistemlerinin kötü yönetimi gibi riskleri azaltmaya yardımcı olur.


BT Denetimi Nasıl Yapılır?

Genel olarak BT denetim süreci aşağıdaki gibi gerçekleştirilir:


  1. BT denetim hedefleri ve kapsamı belirlenir.

  2. BT denetim hedeflerini gerçekleştirmek için gerekli denetim planı geliştirilir.

  3. BT kontrollerinden ilgili bilgiler elde edilir ve söz konusu elde edilen bilgiler değerlendirilir.

  4. Bilgisayar Destekli Denetim Tekniklerini (BDDT) kullanarak, verilerin kopyasını alıp veri testi yapma veya muhasebe yazılımının analizi yapma gibi denetim testleri uygulanır.

  5. Denetim bulguları raporlanır.

BT Denetim Planı nasıl oluşturulur?

Bir BT denetimi planlanmasında yer alması gereken kritik unsurlar;

  • Bilgi teknolojileri ortamı (ekosistemi),

  • BT riskleri ve

  • Denetim işini yürütmek için gerekli kaynaklar değerlendirilerek oluşturulmalıdır.


BT ortamı

BT ortamının değerlendirilmesi, BT iç kontrol prosedürleri ile incelenecek faaliyetlerin anlaşılmasından kaynaklanır. Söz konusu temel tespitlerin olmaması, denetim çalışmasının yanlış yönlendirilmesi, uygun olmayan ve hatalı sonuçların ortaya çıkma riskinin arttıracaktır. Ayını zamanda başlangıçtaki bu inceleme; BT prosedürlerinin ve BT güvenliğinin gizlilik, bütünlük ve ulaşılabilirlik gibi temel prensiplerine odaklanan kontrol ortamının yüksek düzeyde gözden geçirilmesini içermelidir.


En azından bu aşama ele alınması gereken alanlar:


  1. Değişim yönetimi; örneğin, kritik sistemlerin yazılım ve donanım güncellemeleri üzerinde değişim kontrolleri

  2. Erişim güvenliği; örneğin, sisteme hem içeriden hem dışarıdan zorla erişimin kontrolü

  3. İş sürekliliği ve acil kurtarma; işletmenin bilgi varlıklarını öngörülemeyen tehditlerden veya felaketlerden koruma kabiliyeti ve bunların hızlı bir şekilde nasıl geri kazanılacağı.


BT riskleri

Bağımsız denetimde olduğu gibi BT denetiminde de işlerin planlanması ve yürütülmesinde risk odaklı yaklaşım uygulanmaktadır.


Dolayısıyla bu yaklaşım;

  • en önemli riskleri tanımlamayı,

  • tanımlanan riskleri varılmak istenen kontrol hedefleri ile ilişkilendirmeyi ve

  • söz konusu riskleri azaltmak için özel kontrollerin belirlenmesini içermektedir.


Bu bağlamda, ISO 27001 veya COBIT 5 gibi BT Denetim Standartları, BT denetçisi tarafından tanımlanmış olan riskleri kabul edilebilir seviyeye indirebilecek kontrolleri belirlemek veya tavsiyelerde bulunmak için kullanılabilir.


Gerekli kaynaklar