üstatlar.net

BT, kurum ve kuruluşların görevlerini yapmalarına ve hedeflerine ulaşmalarına olanak sağlayan tüm süreçlerin tamamlayıcı bir parçasıdır. BT, yerel ve global iletişimi kolaylaştırır ve işletmecilikte uluslararası işbirliğini teşvik eder.

BT kontrol güvencesi, kontrollerin kurumu en önemli tehdit unsurlarına karşı koruma yeteneğini gösterir ve kalıntı risklerin kuruma ve hak sahiplerine önemli bir zarar verme olasılığının bulunmadığını kanıtlar..

BT (Bilgi Teknolojileri) kontrolleri klavuzu,  BT kontrollerinin değerlendirilmesi için mevcut olan çerçeveler hakkında bilgi vermekte ve bir kurum için doğru çerçevenin nasıl oluşturulabileceğini açıklamaktadır. BT kontrolleri klavuzunun amaçları aşağıdaki gibi sıralanabilir:

• BT kontrollerinin genel iç kontrol sistemi içindeki önemini açıklamak
• BT kontrollerinin genel iç kontrol sistemi içinde doğru doğru uygulanmasını sağlamakla ilgili kurum içi görev ve sorumlulukları tanımlamak
• Herhangi bir kurumda teknoloji kullanımının doğurabileceği risk kavramlarını tanımlamak
• İç denetim biriminin yürüttüğü BT kontrolleri değerlendirme sürecinin ilgili unsurlarını tanımlamak 

BT Kontrollerine Giriş

BT kontrolleri izole bir süreç değildir. BT kontrolleri, birbirine bağlı bir koruma sürecinin bütününü oluştururlar, fakat bir zayıf halkadan dolayı bir taviz konusu da olabilirler. Bu kontroller, hatalara açık olabilir ve yönetimin umursamazlığına konu olabilirler; basit kontroller olabilecekleri gibi son derece teknik de olabilirler ve dinamik bir ortamda varlıklarını sürdürebilirler.

BT kontrollerin iki temel unsuru vardır: iş kontrollerinin otomasyonu ve BT kontrolleri. Böylece BT kontrolleri hem iş yönetimi ve yönetişimine destek olurlar, hem de BT altyapısı üzerinde genel ve teknik kontrol olanakları sağlarlar.

İç denetçinin BT kontrollerindeki rolü, sağlam bir kavramsal anlayışla başlar, risk ve kontrol değerlendirmelerinin sonuçlarıyla zirveye ulaşır. İç denetim birimi kontroller ile ilgili sorumlulukları bulunan kişilerle önemli bir etkileşim içindedir ve yeni teknolojiler ortaya çıktıkça ve kurumun fırsatları, kullanım amaçları, bağımlılıkları, stratejileri, riskleri ve gereksinimleri değiştikçe sürekli ve kesintisiz öğrenmesi ve yeniden değerlendirme yapması gerekir

BT Kontrollerin Anlaşılması

BT kontrolleri, bilgi güvenilirliği ve bilgi hizmetleri konusunda güvence sağlarlar. BT kontrolleri, bir kurumun teknoloji kullanımının doğurabileceği risklerin azaltılması ve hafifletilmesinde yardımcı olurlar. Bu kontroller, kurumsal politikalardan bunların şifrelenmiş talimatlarla fiziksel uygulamasına; eylem ve işlemleri izleme kabiliyeti yoluyla fiziksel erişim korumasından bunlardan sorumlu olan kişilere ve büyük veri grupları için otomatik editleme (bilgilerde düzeltme, ek giriş ve düzenleme yapılması) olanağından makul ve uygun olup olmadığı analizine kadar değişir.

BT kontrolleri hakkında “her şeyi” bilmenize gerek yoktur, fakat iki kilit kontrol kavramını unutmayınız:

• İç kontrol sisteminde BT kontrolleri gerekli güvenceyi vermelidir. Bu güvence kesintisiz olmalı ve kanıtların güvenilir ve sürekli izlenmesine olanak sağlamalıdır.
• Denetçinin güvencesi, verilen ilk güvencenin bağımsız ve objektif değerlendirmesine dayanır. Denetçi güvencesi, denetçilerin yönettiği riskler için gereken kilit kontrolleri anlamaya, incelemeye ve değerlendirmeye dayanır ve kontrollerin uygun tasarlanmasını ve etkin ve kesintisiz çalışmasını sağlamak için yeterli testlerin yapılmasını gerektirir.

BT (Bilgi Teknolojileri) Kontrollerinin Önemi

BT kontrollerine duyulan gereksinimin altında, kurumun masraflarını kontrol altına alma ve rekabet gücünü koruma gereğinden iç ve dış yönetişim kurallarına uyma şartına kadar pek çok faktör yatmaktadır. BT kontrolleri, bilginin güvenilirliği ve etkinliğini artırır ve kurumun değişen risk ortamlarına adapte olmasına olanak sağlar. Suistimalleri veya siber saldırıları azaltan veya ortaya çıkartan herhangi bir kontrol, kurumun ilgili riskleri ortaya çıkarmasına ve bu riskin etkilerini yönetmesine yardımcı olarak kurumun esnekliğini ve kendisini toparlama gücünü artırır. Esneklik, sağlam bir iç kontrol sisteminin sonucudur, çünkü iyi kontrol edilen bir kurum sorunlar veya düzensizliklerle işinde hiç bir kesintiye izin vermeden baş etme yeteneğine sahiptir. Etkin BT kontrollerinin kilit göstergeleri arasında şunlar sayılabilir:

• Yeni ürün ve hizmetleri desteklemek için gereken BT altyapısını yükseltme çalışmaları gibi yeni işleri planlama ve yürütme yeteneği.
• Rakiplere kıyasla daha fazla maliyet-etkin ve daha iyi ürün ve hizmetler sunma olanağını yaratan, bütçe içinde ve zamanında tamamlanan geliştirme projeleri.
• Kaynakları beklendiği gibi tahsis etme ve kullanma yeteneği.
• Kurum içinde ve müşteriler, iş ortakları, diğer dış ilişkiler için bilgi ve BT hizmetlerinin tutarlı ve kesintisiz mevcudiyeti ve güvenilirliği.
• Etkin kontrollerin kilit göstergelerini yönetime açıkça bildirme yeteneği.
• Yeni saldırı ve tehditlere karşı kendisini koruma ve BT hizmetlerindeki kesintileri hızla ve etkin bir şekilde giderme yeteneği.
• Müşteri destek merkezi veya yardım masasını etkin kullanma yeteneği.
• Kullanıcılarda yüksek ve ileri düzeyde güvenlik bilinci ve tüm kurum içinde güvenlik bilincine dayanan bir kültür.

Bilgi Teknolojilerinin Rolleri ve Sorumlulukları

Kurum içinde IT kontrol sorumlulukları ve yükümlülüklerini üstlenen kadrolar için son yıllarda pek çok farklı görev de ortaya çıkmış bulunmaktadır. Yönetişim, yönetim, işletme ve teknik seviyelerdeki her görev/kadronun ilgili görevleri, sorumlulukları ve ayrıca, IT kontrolleriyle ilgili belirli konulardan kimin hangi düzeyde sorumlu olduğu açıkça tespit edilmeli ve tanımlanmalıdır. Bu bölüm, kurum içinde çeşitli IT kontrolü görev ve sorumluluklarını irdelemekte ve bu görev ve sorumlulukları varsayımsal bir örgütlenme yapısı içinde belirli görev/kadrolara dağıtmaktadır.

Risk Analizi

IT kontrolleri, yönetmeleri hedeflenen riskler esasında seçilir ve uygulanırlar. Riskler tanımlandıkça, hiç bir şey yapmamak ve o riski iş yapmanın bir maliyeti/bedeli olarak görmekten, sigorta da dahil çok çeşitli özel kontroller uygulamaya kadar değişen uygun risk cevapları belirlenir. Bu bölüm, IT kontrollerini ne zaman uygulamak gerektiğini ve ilgili kavramları açıklamaktadır.

İzleme ve Teknikler

Resmi bir kontrol çerçevesi kullanmak, belirli somut risklerle baş etmek için gereken IT kontrollerinin tespit edilmesi ve değerlendirilmesi sürecini kolaylaştırır. Kontrol çerçevesi, tüm kontrol spektrumunun yeterince kapsanmasını sağlamak amacıyla düzenlenmiş, kontrolleri gruplandırma yoludur. Bu çerçeve, resmi veya gayri resmi olabilir. Resmi bir yaklaşım, kurumlara uygulanan çeşitli yasal koşulları ve mevzuat hükümlerinin gereğini daha kolay yerine getirir. Bir kontrol çerçevesi seçme veya oluşturma sürecine, kurum içinde kontrollerle ilgili doğrudan bir sorumluluğu olan bütün kadro/kişiler katılmalıdır. Kontrol çerçevesi, sadece iç denetime değil tüm kuruma uygulanmalı ve sadece iç denetim tarafından

değil tüm kurum tarafından kullanılmalıdır.

BT Kontrol Değerlendirmesi

IT kontrollerini değerlendirmek, kesintisiz bir süreçtir. Teknoloji gelişmeye devam ettikçe iş süreçleri de sürekli olarak değişmektedir. Yeni zayıf noktalar ortaya çıktıkça tehditler de ortaya çıkmaktadır. Denetçiler, iş hedeflerini destekleyen IT kontrol konularının gündemin üst sıralarına yakın olduğu bir yaklaşım geliştirdiğinde denetim yöntemleri de gelişmektedir. Yönetim, IT kontrol ölçütlerini ve raporlamasını yönetir. Denetçiler, bunların geçerliliğini onaylar ve bunların değeri konusunda görüş bildirirler. Denetçi, ölçütlerin geçerliliği ve etkinliği ve raporlama güvenceleri konusunda her düzeyde yönetimle ve denetim komitesiyle irtibat içinde olmalıdır.

Kaynak: İçdenetçiler.net