BT DENETİM
Bilgi sistemi denetim grubu; veri işleme organizasyonlarının denetimini, donanımlarını ve bilgisayar ortamına geçilmiş uygulamalarını yürütür. Bu denetimler, kuruluşların malvarlığı üzerinden koruma ve kontrolün kalitesini değerlendirmek, veri işleme kaynaklarını etkin kullanmak, yönetimin politikalarına bağlı kalmak, bilgisayar uygulamaları ve kullanılan bilgisayar ortamı üzerinden yeterli kontrolün uyarlanması ve dizaynına teşvik etmek için yürütülür.
Bütün bu amaçlar şunlar için tasarlanmıştır:
- Veri işleme operasyonlarının yeterliliğini, politikalarını, prosedürlerini, kontrollerini değerlendirmek; uygun maliyetler üzerindeki kolay anlaşılmayan riskleri dikkate alarak operasyonel verimlilik ve etkinlik kontrollerinin gelişmesine yardımcı olmak.
- Hesabı verilen ve her türlü kayıptan korunan, şirketin veri işleme değerlerinin miktarını belirlemek.
- Bu denetimlerin gidişatı süresince belirlenen işlemlerin (kar, maliyet, mal varlıklarının kullanımı) gelişmesi için yönetim sağlamak.
- Bilgi sistemleri yönetim sorumluluğunun ve oto kontrol kavramlarının bütün şirkette gelişmesini teşvik etmek.
BT DENETİM İLE İLGİLİ BİLGİLER
1- Planlama ve organizasyon faaliyetlerinin denetimi
Planlama ve organizasyon faaliyetleri, iş hedeflerinin yerine getirilmesi amacıyla bilgi teknolojileri desteğinin en uygun verilme şeklinin verilmesine yönelik strateji ve yöntemleri içerir. Farklı bakış açılarını içerecek şekilde planlanan stratejiler, organizasyon içerisindeki ilgili birim ve kişilere iletilir. Teknolojik altyapının, sağlıklı bir örgütsel yapı içerisinde verimli ve etkin çalışabileceği hususu bilgi sistemleri denetimi sürecinde dikkate alınır.
Planlama ve organizasyona ilişkin genel kontroller çerçevesinde;
- Stratejik bilgi teknolojileri planının tanımlanması,
- Bilgi mimarisinin tanımlanması,
- Teknolojik yönün belirlenmesi,
- BT süreçlerinin, organizasyonunun ve ilişkilerinin tanımlanması,
- BT yatırımlarının yönetimi,
- Yönetimin amaçlarının ve talimatlarının iletilmesi,
- İnsan kaynakları yönetimi,
- Kalite yönetimi,
- Bilgi sistemleri riskinin değerlendirilmesi ve yönetimi,
- Proje yönetimi
süreçleri ile ilgili kontrol hedefleri denetlenir.
2- Veri Merkezi / Bilgisayar Operasyonları Denetimleri
Veri merkezi ve bilgisayar operasyonları incelemeleri, veri merkezi kaynakları üzerindeki idari kontrolleri ve veri işleyen personeli değerlendirmek için gerçekleştirilir. Bu incelemenin kapsamı; sorumluluğun şu esas alanlarında, bir planlamanın değerlendirilmesini, sınıflandırmayı, politikaları / prosedürleri, sorumlulukların verilmesini, bütçeleri, idari raporları, kayıtları ve performans ölçümlerini içerebilir.
Veri merkezi / bilgisayar operasyonlarına ilişkin genel kontroller çerçevesinde;
- Donanım yönetimi,
- Yazılım yönetimi,
- Kaynağın korunması ve düzeltilmesi,
- Erişim kontrolleri,
- Operasyonların yönetimi ve ağ/haberleşme yönetimi
süreçleri ile ilgili kontrol hedefleri denetlenir.
Bir veri merkezi/bilgisayar operasyonları denetimi, bu sorumlulukların herhangi birine yoğunlaşabilir veya veri merkezinin boyutuna, operasyonların sınıflandırmasına ve zaman bütçesine bağlı olarak hepsini de içerebilir. Mesela, çok bilgisayarlı büyük veri merkezleri ve geniş sayıda kullanıcı için, veri merkezi incelemeleri sadece erişim kontrollerine ve güvenlik yönetimine yoğunlaşabilir. Küçük veri merkezleri için, denetim bütün sorumlulukları içerebilir.
Veri merkezi/bilgisayar operasyonları incelemelerinin amacı, donanım, yazılım veya verideki riskleri belirlemek ve bu riskleri azaltmak için uygun maliyetli bir yol önerisinde bulunmaktır. Öneriler, fiziksel koruma metodları, veri yedekleme işlemleri, yazılım değişim kontrolleri, güvenlik yönetimi ve donanım kullanımı veya kapasitesi gibi aktiviteleri içerebilir.
3- Tedarik ve Uygulama Faaliyetlerinin Denetimi
Tedarik ve uygulama faaliyetleri, bilgi teknolojisi stratejilerinin gerçekleştirilmesiyle ilgili bilgi teknolojisi çözümlerinin tanımlanması, geliştirilmesi veya harici destek sağlayıcılardan temin edilmesi, uygulanması ve iş süreçleriyle bütünleştirilmesini kapsar. Sistemlerdeki bakımlar ve değişikliklerde bu kontrol alanında değerlendirilir.
Tedarik ve uygulamaya ilişkin genel kontroller çerçevesinde;
- Otomasyon çözümlerinin belirlenmesi,
- Uygulama yazılımının geliştirilmesi ve bakımı,
- Teknoloji altyapısının oluşturulması ve bakımı,
- Operasyon ve kullanımın sağlanması,
- Bilgi sistemleri kaynaklarının karşılanması,
- Değişiklik yönetimi,
- Sistem çözümlerinin ve değişikliklerin uygulanması,
süreçleri ile ilgili kontrol hedefleri denetlenir.
Uygulama sistemleri denetimlerinin amacı; verinin entegrasyon ve düzeltilebilirliğindeki, veriyi işlemek için geliştirilen yazılımdaki, verinin zamanında ve verimli işlemesindeki veya bozuk veya tamamlanmamış verinin tanınmasındaki riskleri belirlemektir.
Uygulama sistemleri denetimlerinden gelen öneriler, ekstra kontrol prosedürü, tam zamanında yapılan yedekleme alıştırmaları, arttırılmış veri erişim kısıtlamaları veya ekstra kullanıcı talimatı için ihtiyaçları içerebilir.
4- Hizmet Sunumu ve Destek Faaliyetlerinin Denetimi
Hizmet sunumu ve destek faaliyetleri, gerekli eğitimin verilmesi de dahil olmak üzere ihtiyaç duyulan hizmetlerin güvenli ve sürekli bir şekilde sunulmasını ifade eder.
Hizmet sunumu ve destek faaliyetlerine ilişkin genel kontroller çerçevesinde;
- Hizmet seviyelerinin tanımlanması ve yönetimi,
- Üçüncü kişilerden alınan hizmetlerin yönetimi,
- Performans ve kapasite yönetimi,
- Hizmet sürekliliğinin sağlanması,
- Sistem güvenliğinin sağlanması,
- Maliyetlerin belirlenmesi ve dağıtılması,
- Kullanıcıların eğitimi,
- Hizmet sunumu yönetimi ve olay yönetimi,
- Konfigürasyon yönetimi,
- Problem yönetimi,
- Veri yönetimi,
- Fiziksel çevre yönetimi,
- Operasyon yönetimi
süreçleri ile ilgili kontrol hedefleri denetlenir.
5- İzleme ve Değerlendirme Faaliyetlerinin denetimi
İzleme faaliyetleri, bilgi teknolojilerine ilişkin tesis edilen kontrollerin uygunluk ve kalitesinin, düzenli değerlendirilmesini kapsar.
İzlemeye ve değerlendirmeye ilişkin genel kontroller çerçevesinde;
- Bilgi sistemleri performansının izlenmesi ve değerlendirilmesi,
- İç kontrolün izlenmesi ve değerlendirilmesi,
- Denetlenenin, iç usul ve esasları dahil ilgili mevzuata uyumunun sağlanması,
- Bilgi sistemlerine ilişkin kurumsal yönetişimin temini,
süreçleri ile ilgili kontrol hedefleri denetlenir ve değerlendirilir.
6- Sistem geliştirme denetimleri
Sistem geliştirme denetimleri; yeni bilgisayar destekli uygulamaların, yetkilendirme, geliştirme uyarlaması üzerine idari kontrolleri değerlendirmek ve önerilen sistem üzerinde bilgisayar destekli kontrollerin/denetim izlerinin tasarımını izlemek için gerçekleştirilir.
Bu denetimlerin kapsamı, proje (fizibilite sonuçları, sınıflandırma, bütçeleme, sorumlulukların dağıtılması, proje planları ve raporların durumu vs.) üzerindeki idari kontrollerin değerlendirilmesini veya herbir sistemin gelişmesinden veya uygulama evresinden (kontrollerin tasarımının değerlendirilmesi ve denetim izleri, sistem test planları ve sonuçları, kullanıcı eğitimleri, sistem ve program dökümantasyonu vs.) iletilebilenlerin kalitesinin değerlendirilmesini içerebilir. Bu denetimlerin arasındaki asıl sorumluluk; yeni sistem gelişimi ve projelerin kurulumu ve uygulama değişim yönetimidir.
Bir sistem geliştirme denetiminin amacı, zamanında engellenebilen bu konuların erken belirlenmesini, yeterli eğitim verilmiş kullanıcı topluluğu tarafından kontrol edilmiş, belgelenmiş ve işletilebilmiş bilgisayar destekli sistemin bütçe içi uyarlamasını sağlamaktır.
Sistem geliştirme denetimleri tarafından önerilenler; proje planlarına eklentileri, dosya uzlaşma ve dengeleme kontrollerinin gelişmişliğini veya döküman test planlarını ve beklenen test sonuçlarını içerebilir.
7- Diğer Kişisel veya Birime Ait Bilişim Ortamı Denetimi
“Diğer” bilişim ortamı terimi, bilgisayarın bir şahıs, grup veya bölüm için veri depoladığı ve işlediği (geleneksel bilişim merkezlerinden uzak) alanları tanımlar.Bu ortamların önemi ve kontrol seviyesi veri tipine, iş üzerindeki etkisine, verinin kullanımına ve amacına, vs bağlı olarak değişir. “Diğer” kategorisinde yer alan bilişim ortamlarına örnek olarak: mühendislik/bilimsel işlem, kişisel işlem, laboratuar test verileri toplama, bölüme ait uygulamalar, yerel alan ağları, geniş alan ağları, vs
Bu denetimlerin kapsamı, veri merkezi denetiminde gözden geçirilen aynı konuların çoğunu içerir. (Mesela, işleyen çevre üzerinde yönetsel kontroller, personel işletimi, donanım ve yazılım yönetimi, kaynak koruma, düzelme, erişim kontrolleri, ağ kontrolü)
Diğer bilişim durumlarının denetimindeki amaç, donanım, yazılım veya veri risklerini tanımlamak ve en etkili şekilde bu riskleri azaltmak için öneriler sağlamak.
Öneriler, veri yedekleme uygulamalarını, görev ayrımını, işlem prosedürlerinin belgelenmesini, program değişim kontrollerinin yerleştirilmesini, uygulamanın daha kontrollü bilişim ortamına taşınmasını, veya yazılım lisans anlaşmasına uygunluğunu içerebilir.
8- Yedekleme
Kişisel bilgisayarlarda sürdürülen uygun yedekleme ve verilerin güvenliği, şahsi sorumluluk olarak iç denetim personeline verilir. Kendi işlerini saklama, kopyalama ve yedekleme denetçilerin kendi sorumluluğundadır. Bu prosedür her denetçiye verilen laptoplara ve diğer yerlerdeki paylaşılmış desktop modellerine uygulanır.
Yedekleme prosedürünün zamanlaması, depolanan bilginin seviyesine ve karmaşıklığına bağlı olarak şahsi bir karardır. Referans olarak laptopta “Yedekleme/ Yardım” menü seçeneği her günün sonunda dosyaların (word, Excel, vs.) diskete kopyalanması önerilir. Bu işlem sadece denetim alt dizinlerinde oluşturulan ve depolanan dosyaları kopyalar. Bu işlem hızlı ve kolaydır. Yedek disketleri laptoptan uzak güvenli bir yerde saklamak potansiyel zaman koruması sağlar.
Denetim ilerlerken dokümanların çıktısının alınması, hard disk kaybı durumunda geçerli denetimin işlemesi kazandıracak, bu arada zaman zaman diskete yedeklenmesi, sonraki denetimlerde zaman kazandıracak.
Yedekleme şahsi bir sorumluluk olduğundan, her personel hard diskin zarar görmesi durumunda yeniden yapılandırmaya gerek duyduğu verileri değerlendirmeli. Denetim dokümantasyonunda birkaç gün veya hafta veya denetim zamanının çoğunun kaybedilmesi kabul edilmeyecek.
Diğer yerlerdeki paylaşılan kişisel bilgisayarlar hakkında, haftalık yedekleme prosedürü yürütülecek. Bu prosedür altında denetim alt dizinleri altındaki dosyalar her Cuma yedeklenecek. Departman içerisinde masa üstü bilgisayar kullanan şahıslar eğer vaktinde güvenli-saklama uygunsa kendi işlerini yedeklemeyi düşünmeliler.