Dünyada ve Türkiye’de 1990’lı yılların sonları, 2000’li yılların başlarında yaşanan, Bilgi Sistemleri’nin kötü niyetli kullanımları sonucu ortaya çıkan bazı skandallar (Enron, WorldCom, vb.), Bilgi Sistemleri Denetimini önemli bir konu haline getirmiştir. Türkiye’de de finans sektöründe ve özellikle bankalarda yaşanan bir takım sorunlar sonrası tüm bankaların çeşitli açılardan denetlenmesi kararlaştırılmıştır. Bu nedenle resmi bir kuruluş olan BDDK (Bankalararası Düzenleme ve Denetleme Kurulu) kurulmuştur.
Bankaları gerek finansal gerekse bilgi sistemleri açısından denetleme yetkisine sahip olan BDDK, yayınlamış olduğu “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” içerisinde, tüm bankaların Bilgi Sistemlerinin kontrol altına alınması ve denetlenmesi için kullanılacak çeşitli ilkeleri tanımlamıştır. Bu ilkeler hazırlanırken, özellikle iç kontrollerin oluşturulması ve takibine ilişkin olarak, ISACA (Information Systems Audit and Control Association – Bilgi Sistemleri Denetim ve Kontrol Birliği) adlı uluslarası bir meslek kuruluşunun geliştirdiği, bilgi sistemlerine ilişkin kontrolün sağlanmasına yönelik yöntemlerin belirlendiği COBIT çerçevesi temel alınmıştır.
COBIT (Control Objectives for Information and Related Technology – Bilgi ve İlgili Teknoloji İçin Kontrol Hedefleri) bilgi ve ilgili teknolojik bileşenleri kontrol altına alabilmek için kapsamlı bir süreç çerçevesi sunmaktadır. Bu çerçeve tanımlanırken Bilgi Sistemleri tarafından gerçekleştirilen farklı işler göz önünde bulundurularak, kapsam olabildiğince geniş tutulmuştur. Yıllar yılı bir çok uzmanın katkısıyla gelişen COBIT’in en son yayınlanan versiyonu COBIT 5’dir. COBIT 5 içerisinde tanımlanan 37 süreç ile, baştan sona Bilgi Sistemleri kontrol altına alınmaktadır.
Bilgi Sistemleri yönetimine ilişkin genel kontroller dışında, COBIT içerisinde uygulamalara ilişkin kontroller de yer almaktadır. BDDK tarafından da, bankalarda yer alan kritik uygulamaların kontrol altına alınabilmesi amacı ile kullanılmakta olan bu uygulama kontrolleri en temel olarak aşağıdaki şekilde özetlenebilir:
• Veri oluşturma/yetkilendirme kontrolleri: Sadece yetkilendirilmiş personelin, daha önceden belirlenmiş bir şekilde verileri toplaması/hazırlaması sağlanır. Veri oluşturma sürecinde meydana gelebilecek hataların ve düzensizliklerin tespit edilmesi hedeflenir.
• Girdi kontrolleri: Yalnızca yetkilendirilmiş personelin, belirlenmiş kaynaklar aracılığı ile tanımlanmış yöntemleri kullanarak veri girişi yapılabilmesi sağlanır. Hatalı girilen verilerin belirlenmesi ve hataların gecikmeksizin düzeltilmesi hedeflenir.
• Doğruluk, bütünlük ve aslına uygunluk kontrolleri: Yetkilendirilmiş personel veya sistem tarafından üretilen, ya da arayüzlerden işlenmek üzere girilen verilerin doğruluk, bütünlük ve aslına uygunluğa ilişkin çeşitli kontrollere tabi tutulması sağlanır. Hatalı olduğu belirlenen verilerin düzeltilmesini ve tekrar işleme alınması hedeflenir.
• Veri işleme kontrolleri: Sisteme girilen verilerin, doğru bir şekilde işlenip işlenmediğinin doğrulanması sağlanır. Bu kontroller ayrıca, çalıştırmadan çalıştırmaya kontrol toplamları ve esas dosya güncelleme kontrolleri gibi yeterli güncelleme kontrollerinin varlığını da temin eder. Veri işleme sırasında belirlenebilecek hatalı hareketlerin ve diğer geçerli hareketleri kesintiye uğratması engellenir.
• Çıktı kontrolleri: Uygulamaların, sadece yetkilendirilmiş personel tarafından belirlenen yöntemler aracılığıyla çıktılar sağlaması hedeflenir. Çıktıların muhafazasına ve dağıtımına yönelik gizlilik ve güvenlik gereksinimleri tanımlanır ve bu doğrultuda çalışılması sağlanır. Denetim izleri, hareketlere ilişkin işlemlerin takip edilmesini ve sorunlu verilerle ilgili mutabakat sağlanmasını kolaylaştırır.
• Verilerin (hareketlerin) aslına uygunluğu ve bütünlüğü yönelik kontroller: Verinin uygulama (ve/veya kurum) dışına çıkartılması öncesi, verinin aslına uygunluğunun ve bütünlüğünün kontrol edilmesi sağlanır. Hassas bilginin, iletim ve nakil esnasında, yetkisiz erişim, değişiklik ve yanlış yönlendirmeye karşı uygun bir biçimde korunması hedeflenir.
Yukarıda özetlemeye çalıştığımız uygulama kontrolleri Seçsis için aşağıdaki sorulara cevap bulunmasını sağlayacaktır:
• Seçsis’e girilecek veriler, doğru biçimde, yetkili kişiler tarafından hazırlanıyor mu?
• Seçsis’e veri girişi, sadece yetkili personel tarafından tanımlanan yöntemler ile gerçekleştiriliyor mu?
• Seçsis’e verilerin girişi sonrası, verilerin doğruluğu, aslına uygunluğu kontrol ediliyor mu?
• Seçsis’e girilen verileri, uygulama doğru bir şekilde işliyor (örneğin doğru bir şekilde topluyor) ve raporluyor mu?
• Seçsis üzerinde gerçekleştirilen tüm işlemler kayıt altına alınıp, izlenebiliyor mu? Sadece yetkili kişilerin, “görevlerin ayrılığı” ilkesine uygun bir şekilde uygulamaya kısıtlı olarak erişimleri sağlanabiliyor mu?
• Seçsis’e girilen veriler, iletim, nakil ve saklama esnasında, yetkisiz erişim, değişiklik ve yanlış yönlendirmeye karşı uygun bir biçimde korunuyor mu?
Türkiye’de yer alan tüm bankalar, BDDK tarafından yayınlamış tebliğ doğrultusunda, “varlıklarının korunmasını, faaliyetlerinin etkin ve verimli bir şekilde Kanuna ve ilgili diğer mevzuata, banka içi politika ve kurallara ve bankacılık teamüllerine uygun olarak yürütülmesini, muhasebe ve finansal raporlama sistemlerinin güvenilirliğini, bütünlüğünü ve bilgilerin zamanında elde edilebilirliğini sağlamak üzere” bilgi sistemlerine ilişkin iç kontrolleri (genel kontroller ve uygulama kontrolleri) oluşturmak ve takip etmek zorundadırlar.
Yönetmelikte ifade edilen iç kontrol faaliyetlerinin bir parçası olarak, bilgi sistemleri kontrollerinin etkinliğinin, yeterliliğinin ve uygunluğunun yanı sıra kontrol ile hedeflenen risk ya da risklerin etkisini azaltmaya yönelik performansı devamlı bir şekilde takip edilir ve değerlendirilir. Değerlendirme neticesinde tespit edilen önemli kontrol eksikleri üst yönetim ya da ilgili komitelere raporlanır ve gerekli tedbirlerin alınması sağlanır. BDDK, bankaların tebliğe uygun bir şekilde hareket edip etmedikleri denetlemek için yetkilendirdiği/lisansladığı denetim firmalarından yararlanmaktadır.
Bu sayede BDDK, geçmişte yaşanan “çifte kayıt skandalı” olarak da bilinen skandalların önüne geçmeyi hedeflemektedir. Hatırlanacağı üzere, 3 Temmuz 2003 tarihinde BDDK tarafından İmar Bankası’na el konulmuş ve banka TMSF’ye (Tasarruf Mevduatı Sigorta Fonu) devredilmişti. Yapılan incelemelerde, İmar Bankası’nda biri resmi, diğeri gizli çifte hesap sistemi kullanıldığı ortaya çıkarılmıştı.
Benzeri bir yapılanmanın mevcut seçim sistemi için de uygulanması mümkün görünmektedir. Yüksek Seçim Kurulu kararıyla oluşturulacak resmi bir kuruluşun, seçim sistemi kapsamında baştan sona tüm BT süreçlerini ve ilgili uygulamaları kontrol altına alması yukarıda kısaca özetlediğimiz iç kontrollerin oluşturulmasını ve takip edilmesini sağlaması mümkündür. Bu konuda yetkilendirilmiş bağımsız BT denetim firmalarının denetimleri gerçekleştirmesi ve denetim sonuçlarının YSK ile tüm siyasi parti yetkililerine gönderilmesi, seçim sistemine ilişkin soru işaretlerinin giderilmesini sağlayacaktır.
Derleyen: Gönüllü bilişim dostları adına Cüneyt Göksu
Hiç yorum yok:
Yorum Gönder