Bilişim teknolojileri bankacılık sektörü başta olmak üzere birçok sektör tarafından fazlasıyla kullanılmaktadır. Teknolojik kullanımın artması ve hizmet anlayışının “kurumdan eve” haline gelmesi dijitalleşmeyi artırmış, finansal ve resmi işlemlerin büyük çoğunluğu bilişim teknolojileri aracılığıyla yapılır hale gelmiştir.
Para ve kişisel bilgilerin data haline geldiği günümüzde kurumlar, mobil ekonomiye teknoloji sayesinde ayak uydurmuş, bilgi sistemleri ile saniyeler içinde binlerce işlem yapabilir hale gelmiştir.
Bu durum kurum ve çalışanları teknolojiye bağımlı hale de getirmiştir. Kurum ve çalışanlar ancak teknolojik aksaklık yaşamadıkları sürece müşterilerine hizmet verebilir olmuş, bilgi sistemlerine erişimleri zorunlu hale gelmiştir. Bu durum bilgi sistemlerinin sektör ve kurumlar için hayati olduğunu gösterirken bilgi sistemleri ile sağlanan hizmet ağlarının denetlenmesini de önemli hale getirmiştir.
Bilgi sistemleri denetimi, Türkiye Cumhuriyeti’nde ilgili yönetmelik olan Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) uyarınca yapılmaktadır.
Son yıllarda bilginin elektronik ortamlarda saklanarak kullanılması yaygın hale gelmiştir ve işletmeler çeşitli uzmanlıklara ihtiyaç duyduğu gibi teknolojik gereksinimlere de ihtiyaç duyar hale gelmiştir. Öyle ki teknolojik ve inovatif yatırımlar yapmayan, güncel gelişmeleri geriden takip eden işletmeler rekabet sahasında dezavantajlı duruma geçmiştir. Günümüzde kurumların büyüme oranları kullandıkları bilgi teknolojileri ile paralel ilerleyiştedir. Bunun yanı sıra işlem-hizmet maliyetleri ve operasyonel giderleri de bilgi teknolojileri sayesinde düşebilmektedir. Bilgi teknolojileri gider ve maliyetin azalmasını sağlarken sunulan hizmet kalitesinin artmasını da sağlamaktadır.
Bilgi teknolojileri bilişim sistemlerinin fayda ve zorunlulukları, kurumların örgüt yapıları içerisinde bilgi sistemleri oluşumuna yer açmalarını sağlamıştır. Bilgi teknolojileri kurumların ayrılmaz bir parçası haline gelmiş, kurumlarda bilgi işlem personelleri artmıştır.
Bilgi işlem personelleri görevleri açısından dört ana başlıkta incelenebilir. Bu gruplar yoğunlukla insan kaynakları birimlerinde karşımıza çıkmaktadır.
İdari Personel: Koordinatörler, daire başkanları, grup müdürleri, müdür ve müdür yardımcıları, şef ve şef yardımcıları, memurlar; idari personel grubunda yer alırlar.
Yazılım Personelleri: Sistem programcıları, analist programcılar, uzman programcılar, uygulama programcıları, veri tabanı sorumluları, sistem çözümleyicileri, veri tabanı yönetim sistemi uzmanları; yazılım personeli grubunda yer alırlar.
İşletim Personelleri: Operasyon şefleri, Sistem operatörleri, veri kayır operatörleri, yardımcı operatörler, iletişim uzmanları, network operatörleri; işletim personelleri grubunda yer alırlar.
Donanım Personeli: Bakım mühendisleri, bakım teknisyenleri, teknisyen yardımcıları yer alırlar.
Bilgi sistemleri denetimi hakkında ilgili yönetmelik olan BDDK bilgi sistemleri denetimini şu şekilde tanımlamıştır:
“Bilgi Sistemleri kapsamında yer alan süreç, faaliyet, yazılım ve donanım gibi bilgi sistemi unsurları ve bankacılık faaliyetlerine ilişkin süreçler ile bu sistem ve süreçler dahilinde tesis edilen iç kontrollerin değerlendirilmesi sonucunda görüş oluşturulması ve rapora bağlanması aşamalarından oluşan süreçtir.”
Daha geniş ifade ile bilgi sistemleri denetimi; kurumların kullandığı bilgi teknoloji araçlarının ve bilgi sistemlerinin araştırma, geliştirme, yöntem ve yönetimlerinin düzenli olarak incelenmesidir. Bu incelemelerle kontrol noktaları oluşturulur, planlanan ve uygulanmış olan bilgi sistemleri bileşenlerinin mevcut durumu değerlendirilir ve nasıl daha iyi olacağı üzerine kafa yorulur. Bilgi sistemleri denetimi, tüm bu süreci kapsar.
Bilgi sistemleri ve iş süreçleri bağımsız denetimine ilişkin genel kavramlar BDDK yönetmeliğinin ikinci kısmında açıklanmış ve 4 farklıo kavram sıralanmıştır.
Önemlilik: “Bilgi sistemleri ve iş süreçleri denetiminde önemlilik kavramı, denetimin planlanması, gerekli alanlarda yoğunlaştırılması ve bulguların değerlendirilip raporlanması için kullanılabilir. “
Bu kavram uzmanların bilgi sistemlerindeki kontrol zayıflıkları sonucunda ortaya çıkabilecek ya da çıkmış olan hata ve ihmalleri, hukuka ve yönetmelik uyarınca belirlenmiş olan prosedüre aykırılıkları denetlemesine dayalıdır. Denetlenen ve değerlendirilen faktörlerin Kurumun finansal veri raporlarına, sunduğu hizmetin güvenliliğine ve kesintisizliğine nasıl etki ettiği de saptanır.
Kontrol zafiyetlerinin sınıflandırılması: Denetlenen kurumun kontrol zafiyetleri denetçi tarafından üç ayrı kategoriye ayrılır. Bir kontrolün tasarımı ya da işletmesi hataların zamanında tespit edilmesini ve önlenmesini sağlamıyorsa kontrol zayıflığı denir.
Kontrol hedefinin gerçekleşmesini önleyen tasarım ve işletim kusurları kontrol eksikliği olarak adlandırılır. Eğer hedefin gerçekleşmesini sağlayacak kontrol mekanizması eksikse, çalışmıyorsa, tasarım hatalıysa tasarımdaki kontrol eksikliği olarak kabul edilir. Eğer düzgün tasarlanan kontrol mekanizması tasarlandığı şekilde çalışmıyorsa ya da işletme personeli gerekli yetki ve yeterliliğe sahip değilse işletimdeki kontrol zayıflığı olarak kabul edilir.
Birkaç kontrol zayıflığının bir araya gelmesi ile oluşan önemli kusurlar ya da denetlenen verilerin bütün, tutarlı ve güvenilir olmasını ve gizliliğin sağlanmasını engelleyen kontrol zayıflıkları kayda değer kontrol zayıflığı olarak kategorilendirilir.
Etkinlik, yeterlilik ve uyumluluk: Tasarımda ve işletimde kontrol eksikliği bulunmayan bulunsa bile önemli bir kontrol eksikliği yaratmayan, riskleri telafi edebilen, iş süreçleri üzerinde yeterli kontrol yapılabilen bilgi sistemi kontrolleri etkin kabul edilir. Kanun ve yönetmeliklerin tamamına uyan kontrol tasarımları uyumlu olarak kabul edilir. İşlevini yerine getiren etkin ve uyumlu tasarımlar yeterli olarak değerlendirilir.
Denetim riski: Denetim riski denetçinin şu hallerde görüş vermemesi olasılığıdır: Yapısal risk, kontrol riski, tespit riski.
Bilgi sistemleri ve iş süreçleri bağımsız denetiminde denetçiler geçmiş denetçilerle ve diğer uzmanlarla işbirliği yürütebilirler. Yönetmeliğe göre denetçiler, denetim çalışmalarındaki görüşlerine dayanak teşkil edecek kanıtları toplamak için detaylı araştırmalar yapabilir, çalışmalarını genişletmek için yetkili kuruluşların ve uzmanların çalışmalarından faydalanabilirler. Bunun yanı sıra çalışma ve raporlarından denetçiler yalnızca kendileri sorumludur bu sebepler faydalandıkları diğer görüş ve çalışmaları referans gösteremezler.
Bilgi sistemleri bağımsız başdenetçisi diğer çalışmalardan hangi detay seviyesinde faydalanılacağını belirlemek için şu gibi koşulların asgari olarak sağlanmasını gözetler: çalışma kapsamlarının uygunluğu ve faydalanılacak olan diğer çalışmanın yeterliliği, incelenen kontrollerin yapısı, çalışmayı gerçekleştiren diğer denetçilerin uzmanlıkları-yeterlilikleri ve tarafsızlıkları, faydalanılan çalışmaların kalitesi. Önceki bilgi sistemlerini denetleyen yetkili kuruluş ve denetçiler, gizlilik ilkesi çerçevesinde, denetime esas olan her türlü belge ve bilgiyi yeni denetçiyle paylaşmakla yükümlüdür.
Bunların yanı sıra bilgi sistemleri ve iş süreçleri bağımsız denetiminde denetçi ve denetleyen arasındaki işbirliği süreci de yönetmelikle belirlenmiştir. BDDK’ya göre:
Denetlenen kurumun iç denetçileri ve iç kontrolden sorumlu olan çalışan ve işyeri sahipleri kendi hazırladıkları raporları ve ihtiyaç duyulan tüm bilgi ve belgeleri denetçi ile paylaşmakla yükümlüdür.
Denetlenen kurumların personelleri yetkili denetçi kurumların denetim süreçlerindeki tüm aşamalara bilgi ve becerilerini geliştirmek amacıyla izleyici sıfatı ile katılabilirler fakat bu esnada denetçinin bağımsızlık ilkesini zedelememek zorundadırlar. Kurum personelleri denetçilerin bilgi birikimleri kendilerinin ya da başka yetkili kuruluşların çıkarları için kullanamazlar. Denetçiler izleyici sıfatı ile katılan kurum personellerinin bilgi ve becerilerini artırmak amacıyla gerekli katkıyı vermelidir.
Ayrıca denetlenen kurumun talebine bağlı olarak yetkili kuruluş denetim süreci başlamadan evvel kuruma bildiride bulunur.
Yönetmelik uyarınca denetçi dış hizmet sağlayıcılarla da işbirliğinde bulunabilir, dış hizmet sağlayıcıdan güncel raporları talep edebilir ve alınan hizmetin bilgi sistemlerini ve iş süreçlerini nasıl etkilediğini göz önünde bulundurur.
Globalleşen ekonomide şirketler büyüdükçe kontrolleri de zor olmaktadır. Bazı durumlarda kurum ve işletmelerin finansmanı kötü niyetli kişiler tarafından sömürülebilir. Bu suçlar beraberinde şirket varlığı eriyebilir. Yatırımcı ve hak sahipleri tarafından kayıplar verilebilir. İşletmelerin varlığını zedebileyecek bir suç olan usulsüzlük tecrübeli, objektif ve bağımsız bir kişi tarafından denetlemeye tabi tutulmalıdır.
Bazı işletmeler ise vermiş olduğu vergiyi hafifletmek adına gelirini olabildiği kadar az göstermeye çalışabilir. Varlıkların kötüye kullanılmasında genellikle varlıkların kaybolması ve rehin verilmesini gizlemek için yanıltıcı kayıtların yapılması söz konusudur.
Bunların yanı sıra bazı şirketlerin hileli finansal raporlama yaparak gelir ve gider dengesini farklı gösterdiği de bilinir. Hileli finansal raporlarla kişiler iş yerinde çalışıyor gösterilebilir. Bir başka örnek olarak ise iş yerine alınan bir ürün gibi gösterilerek kişisel eşyalar satın alınmasıdır.
Mali tablo ve raporlar, kamu ve kuruluşların en çok dikkat etmesi gereken konular arasındadır. Tablolar ve raporlar usulüne uygun şekilde hazırlanmalıdır. Üslüne göre hazırlanmayan raporlar, işletme veya kurum ve kuruluşlara maddi anlamda zarar verebilir. Hatalı raporlar en çok karşı karşıya kalınan alanlardan biriyse muhasebe raporlarıdır. Muhasebe raporlarındaki hata tespiti şirketin gelir ve gider dengesinde yanlışlara ve aynı zamanda gelecek planlamasında hatalı bir karar almasına neden olabilir. Bu gibi hataların kontrollerini ilgili birimlerdeki personeller üstlenir. Bu kişiler genellikle o alanda uzman kişiler veya denetimciler olarak karşımıza çıkar.