BİLİŞİM TEKNOLOJİLERİNİN DENETİMİ
A- BİLİŞİM, BİLİŞİM TEKNOLOJİLERİ VE BİLİŞİM SİSTEMLERİ KAVRAMLARI
Günümüz iletişim teknolojisinin temelleri 19. yüzyılda atılmıştır. Telgraf, telefon, radyo, televizyon birbiri ardına yeni iletişim teknolojileri bulunmuştur, 1900’lerin ortalarında ise bilgisayar teknolojisindeki arayışlar yarı iletkenler ile durdurulamaz bir süratle gelişme göstermiştir. Bugün artık bilgisayar diğer teknolojik gelişmeleri destekleyen, uygulama kolaylığı yaratan hayatın birçok alanında karşımıza çıkan bir araçtır.
Bilişim bilginin kodlanması, aktarılması, özetlenmesi, ilişkilendirilmesi, raporlanması gibi geniş bir yelpazeyi kapsayan, özellikle elektronik iletişim ve bilgi işlemi kapsayan bir terimdir.
Bilişim = Bilgisayar + İletişim
Bilişimin bir kuruluşta anlamlı olması bilgisayar, iletişim, donanım ve yazılımların kuruluş ile anlamlı bir şekilde bütünleşmesini gerektirir. Bu da yönetimi ilgilendiren bir yöndür.
Bilişim = Donanım + Yazılım + Yönetim
Bilişim teknolojileri ve sistemleri esasen etkin bir bilişim yönetimini gerektirir. Dolayısıyla bilişim teknolojilerinden söz edildiğinde, mühendislik, teknoloji uzmanlığı gibi konular akla gelmekle birlikte, çağdaş yönetim beceri ve sorumluluğunun belki de daha önemli unsurlar olduğu akla gelmelidir.
Bilişim teknolojileri kavramı, bilginin üretilmesi, yığın olarak depolanması, dağıtılması gibi amaçlarla kullanılan araç ve yöntemleri ifade etmektedir. Bu kavram başta bilgisayar olmak üzere diğer iletişim araçlarını da içeren geniş bir alanı kapsamakla birlikte bilgisayarların bu gün faaliyetlere sağladığı desteğin büyüklüğü bilişim teknolojileri denince akla belki ilk bilgisyaraların gelmesi yönündeki bakış açısının doğmasına sebep olmaktadır. Sonuç olarak bilgisayar vasıtasıyla oluşturulmuş bilgi sistemleri için de bilişim sistemleri kavramı kullanılmaktadır.
B- BİLİŞİM TEKNOLOJİLERİNİN DENETİMİNE NEDEN İHTİYAÇ DUYULMAKTADIR ?
Günümüzde denetim ile bilişim sistemleri arasındaki ilişki iki yönlüdür. Denetim faaliyetinin yürütülmesinde bilgisayar destekli denetim uygulamalarından istifade edilmektedir. Diğer bir ilişki ise yönetimin faaliyetleri içerisinde uygulamalara katkı sağlayan bilişim teknolojilerinin denetimine ihtiyaç duyulmasıdır. Biz burada daha ziyade olayın ikinci yönü ile ilgileneceğiz.
– Yüksek Maliyetler ve Kaynak Darlığı
İlk olarak bilişim teknolojilerinden kamuda yaygın bir şekilde yararlanılmaya başlandığı günümüzde kamu kaynaklarının kıt olduğu düşünüldüğünde, bu alanlara harcanan kaynakların performansa dayalı (ekonomik, verimli ve etkin) olarak kullanılıp kullanılmadığının tespiti gerekir. Özellikle kıt olan kaynakların dağılımında rasyonel tavrın zaman zaman zaafiyet gösterdiği düşünüldüğünde bilişim teknolojilerine aktarılan kamu kaynağının da yerinde kullanılması önem arzetmektedir. Gördüğümüz bir teknoloji bizi büyüleyebilir. Ancak fonsiyonel midir, arzulan ihtiyaçları karşılamakta mıdır. Yani kamunun harcadığı para gerçek karşılığını bulmuş mudur. Bu nedenle bilişim teknolojilerinin öncelikle performans bakımından denetimi gerekir.
– Kurumsal Veri Yönetimindeki Değişimler
Kamunun büyük bir kısmında elektronik teknolojilerden istifade edilmektedir. Ülkemiz bu alanda küçümsenemeyecek düzeyde yol almış ve birçok kamu kurumunun bilişim sistemlerine dönük projeleri halen devam etmektedir. Kamu kurumlarının görev alanına giren birçok faaliyet ile iç işlemlerine dönük fonksiyon, gerek yerel ağlar gerekse internet üzerinden WEB tabanlı sistemler aracılığı ile yürütülmekte ve yönetilmektedir.
Kurumsal veriler veri tabanları yoluyla işlenmekte, raporlanmakta, kısacası üretilmektedir. Bu bakımdan kurumsal verilerin güvenliği son derece önemlidir.
– Kontrol Süreçlerinde Bilişim Sistemlerinden Yararlanması
Kurumsal iç kontrol yapılarının altyapısında ve oluşturulmasında da bilişim teknolojilerinden yararlanılmaktadır. Bu nedenle sağlıklı işleyen bir iç kontrol yapısının oluşturulması için öncelikle sağlıklı işleyen ve yönetilen bir bilişim altyapısının varlığı ve bunun denetimine ihtiyaç vardır.
– Usulsüz ve Yolsuz İşlemlerle Teknoloji Arasındaki İlişki
Bugün bazı usulsüz ve yolsuz işlemlerin daha teknik ve profesyonel düzeyde bilgi sistemleri üzerinden yapıldığı kuşkusuzdur. Örneğin mükerrer veri üretimlerinde veri bütünlükleri arasındaki farklılıklar ile gerçek faaliyet sonuçlarında farklılıklar yaratılabilir. Bu nedenle denetimin bilgi sistemlerini kavrayacak bir yöne kayması kaçınılmazdır.
– Teknoloji Yatırımlarının İhtiyaçları Karşılama Düzeyinin Belirlenmesi
Bilişim sitemleri asıl faaliyetleri destekleyen yüksek düzeyli yatırımlardır. Yapılan yatırımların uygulama ihtiyaçlarını karşılaması, optimum bir uygulama süresinin bulunması ve kullanıcıların memnuniyetinin belirlenmesi gibi unsurlarla bu alanın denetimine ihtiyaç duyulmaktadır.
– Kurumsal Risklerin Belirlenmesi ve Azaltılması ile Veri Güvenliği
Bilişim teknolojilerinin kullanılması sonucu oluşan risklerin tespit edilmesi ve azaltılması ile verilerin erişim, entegrasyon, yazılım, donanım vb… açılardan güvenliğinin sağlanması gereği de bu alandaki denetime ihtiyaç duyulabilmektedir.
– Bilişim Teknolojilerinin Diğer Denetimlere Temel Teşkil Etmesi
Mali, performans, düzenlilik, suça dönük fiiller gibi denetim türleri düşünüldüğünde, bu denetimlerin yapılabilmesi için öncelikle bilişim teknolojilerinin bu denetimlere zemin oluşturacak nitelikte denetlenmesi yerinde olacaktır. Zira;
• Mali tablolarda yer alan verilerin güvenli olması,
• Verilerin gizliliği ve güvenliğinin garanti edilmesi,
• Yığın verilerin analizi yoluyla faaliyetlerdeki düzensizlik ve usulsüzlüklerin belirlenmesi,
Gibi konular diğer denetim türleri ile bilgi sistemlerinin denetimi arasındaki bağlantıya işaret edebilecek hususlardır.
C- BİLİŞİM TEKNOLOJİSİ İLE İLGİLİ STANDARTLAR
Bilişim teknolojileri denetimi ile ilgili olarak Uluslar arası Muhasebeciler Federasyonu Uluslar arası Uygulamalar Komitesi (IFAC) tarafından, daha çok özel sektör için yürürlüğe konulan standartlar bulunmaktadır. IFAC bilgisayar ortamında bilgi sistemlerinin denetimi ile ilgili olarak “ISA 401-Bilgisayar Ortamındaki Bilgi Sistemlerinin Denetimi” standardını yayımlayarak, bilgisayar ortamındaki bilgi sistemlerinin denetiminde izlenecek rehber, standart ve prosedürleri belirlemiştir. Bununla birlikte IFAC tarafından bilişim sistemlerinin denetimine dönük olarak tebliğler de yayınlanmıştır.
Başka bir organizasyon ise bağımsız denetçilerin üye olduğu mesleki bir organizasyon olan Bilgi Sistemleri Denetimi ve Kontrolü Birliği (ISACA) dır. ISACA tarafından 10 genel standart belirlenmiş olup yakın dönemde “Bilişim Teknolojisi Kontrol Hedefleri (COBIT: Control Objectives for Information and Related Technology)” başlığı altında yeni mesleki standartlar yayınlamıştır. Bu yeni standartların özelliği mali (finansal) denetim, güvenlik denetimi, performans denetimi ve kontrol hedeflerini bir araya getirmesidir.
Bu alandaki standartlarla ilgili olarak güvenlik standartlarından da (BS7799, ISO17799 vb…) söz edilebilir. Diğer taraftan ülkelere göre de farklı yaklaşımlar bulunmaktadır. Örneğin İngiltere’de bilişim teknolojilerinin denetimi ile ilgili olarak “Hükümet Bilgi Sistemleri Denetimi El Kitabı” yayınlanmıştır.
D- DENETİMİN YAPILMA ZAMANI VE DENETİMİN SÜRECİ
Bilişim sistemlerinin denetimi ihtiyaca göre;
1. Geliştirilmekte olan bir sistemin kurulum ve geliştirilmesi aşamasında,
2. Sistemle ilgili bir uygulamanın değerlendirilmesi aşamasında,
3. Bilgi sistemlerine dönük şikayetlerin ortaya çıkması halinde,
4. Sistem kurulumunda gecikmelerin ortaya çıkması durumunda,
5. Sistem maliyetlerinde fazlalığın ortaya çıkması halinde,
6. İşleyen bir sistemin performansının değerlendirilmesi aşamasında,
7. Mali, performans, düzenlilik gibi diğer denetim türlerine temel oluşturmak istendiği,
zamanlarda yapılabilir.
Denetim sürecinde, öncelikle denetimin planlaması yapılır, daha sonra sistem süreçlerinin analizi ve değerlendirilmesi yapılır, ihtiyaca göre gerekli testler ve görüşmeler gerçekleştirilir, yapılan tespitleri destekleyen kanıtlar toplanır, son olarak tespit edilen bulgular değerlendirilir ve raporlanır.
E- DENETİMDE DİKKAT EDİLECEK HUSUSLAR NELER OLABİLİR.
Bilgi sistemlerine dönük denetimler dünyada denetim alanında yeni yeni uygulama alanı bulmuştur. Zira bilgi teknolojisindeki hızlı değişimin tarihi de pek eskilere dayanmaz. Bu nedenle geliştirilen ve gelişmeye açık bir alan olarak bilgi sistemlerinin denetimi hakkında aşağıda sistematik ve standartlara (COBİT gibi) dayanan bir metodolojiden ziyade, bir yığın halinde bilgi teknolojileri denince bu alanda ne gibi konular denetimin kapsamında yer alabilir bunun üzerinde durulacaktır.
• Sistem Yönetimiyle İlgili
Sistemde yapılan her işlem sistem yöneticisinin kontrolünde olmalıdır. İşlem süreçleri gizli, örtülmüş bir yapıya izin vermemelidir. Böylelikle denetim izi silinmez.
Sistem uygulayıcısı personelin yapısı nedir, personelin seçimindeki prosedürler nelerdir.
Uygulayıcı personelin eğitimi ve gelişimi için neler yapılmaktadır.
Personelin görev tanımları açık olarak belirlenmiş midir.
Sistemin iş akış ve sürekliliğine ait bir plan var mıdır.
Acil durumlar karşısında yapılacak faaliyetlerin yer aldığı bir plan var mıdır.
Kullanıcıların sistemle ilgili memnuniyetleri araştırılır. Zira bu, işlemekte olan bir sistemde denetim yapan kişi için veri oluşturur.
Sistem yazılımları ihtiyaçları karşılamakta mıdır, uygulama yazılımları kim tarafından geliştirilmektedir. Yazılımlar test edilmekte midir, lisanssız yazılım kullanılmakta mıdır.
• Erişim Kontrolleri İle İlgili
Sisteme giriş kontrolleri tam mıdır, sisteme yetkisi olmayan kişiler girebilmekte ve değişiklik yapabilmekte midir.
Dışarıdan olumsuz erişimlere karşı (virüs, hacker vb..) sistem güvenliği sağlanmış mıdır.
Sistem donanım malzemelerinin bulunduğu alanlara yetkisiz kişiler girebilmekte midir.
Donanım malzemeleri doğal afetler gibi dış müdahalelere karşı korunmakta mıdır.
• Veri Güvenliğiyle İlgili
Siteme girişler yetkilendirilmiş midir. Yani her kullanıcı için yetki derecesine göre sisteme girebileceği alanlar ayrıştırılmış mıdır (Her kullanıcı sisteme tam yetki ile girmemelidir).
Sistem hangi verinin kim tarafından girildiği, düzeltildiği, yok edildiği gibi soruları cevaplar nitelikte dizayn edilmiş midir? Böylece kimin neden sorumlu olduğu da belirlenmiş olur.
Veri girişleri mükerrer midir? Mükerrer girişlerde zaaf, her iki bilgi demetinin aynı veriyi taşıyıp taşımadığına odaklanır. Aksi halde bir yerde yapılan düzeltme, diğer veri demetine yansımazsa bilgileri homojen olarak korumak mümkün olmayacaktır.
Veriler düzenli olarak saklanmakta mıdır.
SONUÇ
Teknoloji bugün ilgisiz kalınamayacak bir hız ve yoğun veri ile baş etme olanağı tanımaktadır. Dahası bu veriler üzerinden analizler yapılarak karar kontrol sistemlerinin geliştirilmesi, uygulamalara yön verilmesi olanakları yöneticilerin de işini kolaylaştırmaktadır. İyi bir yönetimin bir parçası olarak denetim de teknolojiden yararlanır hale gelmiş ve hatta “sürekli denetim” faaliyetleri teknoloji ile desteklenir olmuştur. Dolayısıyla bugün, hem denetim elemanlarının hem de denetim faaliyetinin, kendisini yeni teknolojik imkanlarla devamlı olarak beslemesi bir zorunluluk gibidir.
Kaynakça
1- Bilgi Teknolojileri Denetim Yaklaşımı (Sunum), Oktay Aktolun, Deloitte & Touche Kurumsal Risk Hizmetleri, Aralık, 2002
2- Bilgisayar Ağları Aracılığı İle Gerçekleştirilebilecek Suçlar ve Yaşanan Sorunlar, H.Cenk OZMUTLU, Seda OZMUTLU
3- Bilişim Sistemi Kavramı ve Bilişim Sistemlerinin Denetimi, Davut ÖZKUL, Sayştay Dergisi Sayı:44-45
4- Bilişim Teknolojisine Yönelik Performans Denetimi (Çeviri), Firdevs Karahan, Ankara, Mart 2000
5- Bilişim Yönetiminin ve Teknolojilesinin Denetimi (Çeviri), Sayıştay Cumhuriyetin 75 inci Yıldönümü Dizisi Aralık 1998
6- Niçin Yazılım? Kuruluşların Bilgisayar Kullanımında Karşılaştıkları Güçlükler İçin Bir Kılavuz, Semih BİLGEN, Türkiye Bilişim Derneği Yayınları, Ankara 1992
