Slide 1 - İsmmmo

advertisement
Bağımsız Bilgi
Sistemleri Denetimi
Antalya, Nisan 2007
İçerik
27 Nisan 2007
1.
BBSD Kapsamı
2.
COBIT
3.
Uygulama Kontrolleri
4.
Denetimde Karşılaşılan Güçlükler
5.
Öneriler
2
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Bağımsız Bilgi Sistemleri Denetimi Alanları (1/1)
• Denetimin kapsamı
Denetim
alanları
• Genel Bilgi Sistemleri Süreçleri ( COBIT)
• Uygulama Kontrolleri Denetimi
• İç Kontrol/Denetim faaliyetlerinin Değerlendirilmesi
Denetim
Periyodu
COBIT denetimi 2 yılda 1 kez olmak üzere tekrarlanacak,
uygulama kontrolleri denetimi ise her yıl tekrarlanacak,
Kapsanan
Kurumlar
2006 yılından itibaren bankalar ve 2007 yılından itibaren bankalarla
mali konsolidasyona giren şirketler kapsam dahilinde,
Denetim
Sorumlusu
27 Nisan 2007
Bu denetimlerden bankalarda bağımsız mali denetim yapan
şirketler sorumlu,
3
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
İçerik
27 Nisan 2007
1.
BBSD Kapsamı
2.
COBIT
3.
Uygulama Kontrolleri
4.
Denetimde Karşılaşılan Güçlükler
5.
Öneriler
4
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Genel Bilgi Sistemleri (1/3)
COBIT Denetim Alanları
Planlama ve Organizasyon
Faaliyetlerinin
Denetimi
Tedarik ve Uygulama
Faaliyetlerinin
Denetimi
İzleme ve
Değerlendirme
Faaliyetlerinin Denetimi
Hizmet
Sunumu ve Destek
Faaliyetlerinin Denetimi
27 Nisan 2007
5
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
27 Nisan 2007
6
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Genel Bilgi Sistemleri (3/3)
Olgunluk Seviyesi
Denetimlerdekontrol
alanlarının altında yer alan
ve önemlilik kriterine göre
seçilen her bir kontrol
hedefini sağlamaya
yönelik oluşturulmuş süreç
veya süreçlerin tümünün
değerlendirilmesiyle elde
edilen kontrol hedefine
ilişkin olgunluk seviyesi
belirlenmiştir.
27 Nisan 2007
7
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
İçerik
27 Nisan 2007
1.
BBSD Kapsamı
2.
COBIT
3.
Uygulama Kontrolleri
4.
Denetimde Karşılaşılan Güçlükler
5.
Öneriler
8
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Uygulama Kontrolleri
Tanım
• Kurum içerisinde finansal verilerin işlem gördüğü tüm uygulamalar
ve bu uygulamaların desteklediği iş süreçlerinin;otomatik ve
manuel kontroller açısından denetiminin gerçekleştirilmesi
Bu kontroller;
•
•
•
•
Veri oluşturma ve yetkilendirme
Bilginin akışı ve uygulamalara girilmesi
Veri İşleme ve Onaylar
Üretilen bilgi ve Raporlama
Sınıflandırma
akışında tespit edilen kontrollerin Uygunluk, Bütünlük ve Saklama
Niteliğine göre sınıflandırılması ile ifade edilmelidir.
27 Nisan 2007
9
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Uygulama Kontrolleri
Uygulama
kontrollerinin
belirlenmesi
Global anlamda
‘benchmark’
karşılaştırması
Kontrol
eksikliklerinin
belirlenmesi
Kullanıcılarla
görüşmeler
Denetim Yaklaşımı
Mevcut
kontrollerin testi
Mevcut İş Akışı
Dokümantasyonu
Kontrol Ortamının Değerlendirilmesi
27 Nisan 2007
10
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Uygulama Kontrolleri
Süreç Yaklaşımı
• Süreç Sahibi
• Denetimin organizasyonel olarak farklı Genel Müdürlük iş birimlerini ve
şubeleri içermesi
Pazarlama
Örnek bir süreç:
Fon
Yönetimi
Mevduat Süreci
Muhasebe
Organizasyon
27 Nisan 2007
11
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
İç Kontrol/Denetim süreci
Performans
• Uygulama kontrolleri ile birlikte, bankaların finansal raporlama
sistemi ile ilgili iç kontrollerinin yeterliliği ve yöneticilerin bu iç
kontrollerin yeterliğini ve etkinliğini ölçmedeki performansının
değerlendirilmesi
Kurumda mevcut İç kontrol sisteminin denetlenmesi sürecinde;
• Planlama,
• Yönetimin gerçekleştirdiği iç kontrollerle ilgili değerlendirme süreci,
Kapsam
• İç kontrollerle ilgili genel değerlendirme süreci,
• İç kontrollerin tasarımının test edilmesi, etkinliğinin ve yeterliliğinin
değerlendirilmesi,
• İç kontrollerin uygulanmasının test edilmesi, etkinliğinin ve yeterliliğinin
değerlendirilmesi,
• İç kontrollerin etkinliği ve yeterliliği ile ilgili görüşün oluşturulması,
27 Nisan 2007
12
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
İçerik
27 Nisan 2007
1.
BBSD Kapsamı
2.
COBIT
3.
Uygulama Kontrolleri
4.
Denetimde Karşılaşılan Güçlükler
5.
Öneriler
13
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Denetimde Karşılaşılan Güçlükler
• Dokümantasyon eksikliği
• Politika, İş akışları, Prosedür ve Görev Tanımlarının mantıksal
bütünlüğünün bulunmaması
• Denetimin amacının anlaşılmaması
• Yönetmeliğin iyi yorumlanmaması
Denetim
Esnasında
Yaşanan
Güçlükler
• İş hedefleri ve denetim çalışmalarının getirdiği yoğunluk
• Görüşmelerin uzaması
• Hıyerarşik yaklaşım
• Elde edilecek faydanın daha sonra farkedilmesi
• COBIT metodolojisinin yorumlanması
27 Nisan 2007
14
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Denetimde Karşılaşılan Güçlükler
• Süreç sorumlularının atanmasındaki gecikme
• Süreç sahiplerinin doğru atanmaması
 Süreçten sorumlu olan ve hesap verebilen gerçek sahibinin aranması
ihtiyacı ortaya çıkmıştır.
 Süreçlerin muhataplar tarafından sahiplenilmemesine yol açmıştır.
İş Süreçler
• Kontrol kavramı eksikliği
• BBSD kapsamı ve yönetmelik hakkında bilgi eksikliği
• Bazı kurumlarda, bilgi ve belge ihtiyacında sürekli olarak
hiyerarşideki üst yöneticilerden onay alınmasının talep edilmesi
Kurum Yapısı
• Bazı kurumlarda BT organizasyonunun karmaşıklığı ve fonksiyonel
olarak yaygınlığı
• Yapıların kontrol noktalarınının belirlenmesine uygun olmayışı
27 Nisan 2007
15
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Denetimde Karşılaşılan Güçlükler
Denetimlerin başlangıç tarihlerindeki gecikmeler
Denetim kapsamının daha net tanımlanmaması
Kapsamın genişliği
Temel Güçlükler
Olgunluk seviyelerinin belirlenmesindeki yöntemin bilinmemesi
Yönetmeliğin isminden içeriğinin anlaşılamaması, denetimlerin
sadece Bilgi Teknolojisi birimleri ile kısıtlı olduğunun algılanması
27 Nisan 2007
16
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Denetimde Karşılaşılan Güçlükler
Önceki sürümdeki gibi Denetim
Kılavuzları’nın (Audit Guidelines)
bulunmaması
Farklı organizasyon ve sistem
yapıları olan kuruluşların aynı detay
kriterlere göre değerlendirilmesi
COBIT 4.0’a yapılan
adreslemelerin bütünsel ve
tutarlı olmaması, kontrol
hedefleri arasında sınırların
kesin olarak belirlenmemesi
COBIT
Olgunluk Modelinde; Üst Düzey
Kontrol Hedefleri, Detaylı Kontrol
Hedefleri ve Yönetim Kılavuzları
adımlarında tutarsızlıklar
COBIT Detay Kontrol Hedefleri
adımlarında, genel kabul gören
ve bilinen uygulamalara yer
verilmemiş olması
27 Nisan 2007
17
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Denetimde Karşılaşılan Güçlükler
Hazırlık çalışmalarının
istenilen ölçüde
tamamlanamaması
Denetimi ilk defa
gerçekleştirmenin
getirdiği tecrübe
eksikliği
Risklerin
tanımlanmasında net
bir tanım oluşturamama
Dokümantasyonun
içinde tekrarların olması
Rapor formatının geç
oluşturulmasi
Denetim
Denetim planlarının
oluşturulmasındaki
gecikmeler
Eleman eksikliği ve
kayıpları
Yönetmelik öncesinde
Yeterli ve deneyimli
kadroların istihdam
edilememesi
27 Nisan 2007
18
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
İçerik
27 Nisan 2007
1.
BBSD Kapsamı
2.
COBIT
3.
Uygulama Kontrolleri
4.
Denetimde Karşılaşılan Güçlükler
5.
Öneriler
19
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Öneriler
• Hayata geçirmek için
zaman tanınmalı
• Sözleşmeler onaya tabi
olmalı
• Denetim kapsamı
standardize edilmeli
• Rapor formatı
basitleştirilmeli
• Denetim yöntemi
standardize edilmeli
• Risk matrisi uygulamaya
alınmalı
• Kapsamda rotasyon
uygulanmalı
• İştirakler için minimum
kapsam belirlenmeli
• Yönetmeliğin adı ve
denetçi ünvan kriterleri
tekrar düzenlenmeli
• Olgunluk seviyesi
belirlenmesi zorunlu
olmamalı
• İş akışları tamamlanmalı
27 Nisan 2007
20
Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved
Download