Bağımsız Bilgi Sistemleri Denetimi Antalya, Nisan 2007 İçerik 27 Nisan 2007 1. BBSD Kapsamı 2. COBIT 3. Uygulama Kontrolleri 4. Denetimde Karşılaşılan Güçlükler 5. Öneriler 2 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Bağımsız Bilgi Sistemleri Denetimi Alanları (1/1) • Denetimin kapsamı Denetim alanları • Genel Bilgi Sistemleri Süreçleri ( COBIT) • Uygulama Kontrolleri Denetimi • İç Kontrol/Denetim faaliyetlerinin Değerlendirilmesi Denetim Periyodu COBIT denetimi 2 yılda 1 kez olmak üzere tekrarlanacak, uygulama kontrolleri denetimi ise her yıl tekrarlanacak, Kapsanan Kurumlar 2006 yılından itibaren bankalar ve 2007 yılından itibaren bankalarla mali konsolidasyona giren şirketler kapsam dahilinde, Denetim Sorumlusu 27 Nisan 2007 Bu denetimlerden bankalarda bağımsız mali denetim yapan şirketler sorumlu, 3 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved İçerik 27 Nisan 2007 1. BBSD Kapsamı 2. COBIT 3. Uygulama Kontrolleri 4. Denetimde Karşılaşılan Güçlükler 5. Öneriler 4 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Genel Bilgi Sistemleri (1/3) COBIT Denetim Alanları Planlama ve Organizasyon Faaliyetlerinin Denetimi Tedarik ve Uygulama Faaliyetlerinin Denetimi İzleme ve Değerlendirme Faaliyetlerinin Denetimi Hizmet Sunumu ve Destek Faaliyetlerinin Denetimi 27 Nisan 2007 5 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved 27 Nisan 2007 6 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Genel Bilgi Sistemleri (3/3) Olgunluk Seviyesi Denetimlerdekontrol alanlarının altında yer alan ve önemlilik kriterine göre seçilen her bir kontrol hedefini sağlamaya yönelik oluşturulmuş süreç veya süreçlerin tümünün değerlendirilmesiyle elde edilen kontrol hedefine ilişkin olgunluk seviyesi belirlenmiştir. 27 Nisan 2007 7 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved İçerik 27 Nisan 2007 1. BBSD Kapsamı 2. COBIT 3. Uygulama Kontrolleri 4. Denetimde Karşılaşılan Güçlükler 5. Öneriler 8 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Uygulama Kontrolleri Tanım • Kurum içerisinde finansal verilerin işlem gördüğü tüm uygulamalar ve bu uygulamaların desteklediği iş süreçlerinin;otomatik ve manuel kontroller açısından denetiminin gerçekleştirilmesi Bu kontroller; • • • • Veri oluşturma ve yetkilendirme Bilginin akışı ve uygulamalara girilmesi Veri İşleme ve Onaylar Üretilen bilgi ve Raporlama Sınıflandırma akışında tespit edilen kontrollerin Uygunluk, Bütünlük ve Saklama Niteliğine göre sınıflandırılması ile ifade edilmelidir. 27 Nisan 2007 9 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Uygulama Kontrolleri Uygulama kontrollerinin belirlenmesi Global anlamda ‘benchmark’ karşılaştırması Kontrol eksikliklerinin belirlenmesi Kullanıcılarla görüşmeler Denetim Yaklaşımı Mevcut kontrollerin testi Mevcut İş Akışı Dokümantasyonu Kontrol Ortamının Değerlendirilmesi 27 Nisan 2007 10 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Uygulama Kontrolleri Süreç Yaklaşımı • Süreç Sahibi • Denetimin organizasyonel olarak farklı Genel Müdürlük iş birimlerini ve şubeleri içermesi Pazarlama Örnek bir süreç: Fon Yönetimi Mevduat Süreci Muhasebe Organizasyon 27 Nisan 2007 11 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved İç Kontrol/Denetim süreci Performans • Uygulama kontrolleri ile birlikte, bankaların finansal raporlama sistemi ile ilgili iç kontrollerinin yeterliliği ve yöneticilerin bu iç kontrollerin yeterliğini ve etkinliğini ölçmedeki performansının değerlendirilmesi Kurumda mevcut İç kontrol sisteminin denetlenmesi sürecinde; • Planlama, • Yönetimin gerçekleştirdiği iç kontrollerle ilgili değerlendirme süreci, Kapsam • İç kontrollerle ilgili genel değerlendirme süreci, • İç kontrollerin tasarımının test edilmesi, etkinliğinin ve yeterliliğinin değerlendirilmesi, • İç kontrollerin uygulanmasının test edilmesi, etkinliğinin ve yeterliliğinin değerlendirilmesi, • İç kontrollerin etkinliği ve yeterliliği ile ilgili görüşün oluşturulması, 27 Nisan 2007 12 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved İçerik 27 Nisan 2007 1. BBSD Kapsamı 2. COBIT 3. Uygulama Kontrolleri 4. Denetimde Karşılaşılan Güçlükler 5. Öneriler 13 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Denetimde Karşılaşılan Güçlükler • Dokümantasyon eksikliği • Politika, İş akışları, Prosedür ve Görev Tanımlarının mantıksal bütünlüğünün bulunmaması • Denetimin amacının anlaşılmaması • Yönetmeliğin iyi yorumlanmaması Denetim Esnasında Yaşanan Güçlükler • İş hedefleri ve denetim çalışmalarının getirdiği yoğunluk • Görüşmelerin uzaması • Hıyerarşik yaklaşım • Elde edilecek faydanın daha sonra farkedilmesi • COBIT metodolojisinin yorumlanması 27 Nisan 2007 14 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Denetimde Karşılaşılan Güçlükler • Süreç sorumlularının atanmasındaki gecikme • Süreç sahiplerinin doğru atanmaması Süreçten sorumlu olan ve hesap verebilen gerçek sahibinin aranması ihtiyacı ortaya çıkmıştır. Süreçlerin muhataplar tarafından sahiplenilmemesine yol açmıştır. İş Süreçler • Kontrol kavramı eksikliği • BBSD kapsamı ve yönetmelik hakkında bilgi eksikliği • Bazı kurumlarda, bilgi ve belge ihtiyacında sürekli olarak hiyerarşideki üst yöneticilerden onay alınmasının talep edilmesi Kurum Yapısı • Bazı kurumlarda BT organizasyonunun karmaşıklığı ve fonksiyonel olarak yaygınlığı • Yapıların kontrol noktalarınının belirlenmesine uygun olmayışı 27 Nisan 2007 15 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Denetimde Karşılaşılan Güçlükler Denetimlerin başlangıç tarihlerindeki gecikmeler Denetim kapsamının daha net tanımlanmaması Kapsamın genişliği Temel Güçlükler Olgunluk seviyelerinin belirlenmesindeki yöntemin bilinmemesi Yönetmeliğin isminden içeriğinin anlaşılamaması, denetimlerin sadece Bilgi Teknolojisi birimleri ile kısıtlı olduğunun algılanması 27 Nisan 2007 16 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Denetimde Karşılaşılan Güçlükler Önceki sürümdeki gibi Denetim Kılavuzları’nın (Audit Guidelines) bulunmaması Farklı organizasyon ve sistem yapıları olan kuruluşların aynı detay kriterlere göre değerlendirilmesi COBIT 4.0’a yapılan adreslemelerin bütünsel ve tutarlı olmaması, kontrol hedefleri arasında sınırların kesin olarak belirlenmemesi COBIT Olgunluk Modelinde; Üst Düzey Kontrol Hedefleri, Detaylı Kontrol Hedefleri ve Yönetim Kılavuzları adımlarında tutarsızlıklar COBIT Detay Kontrol Hedefleri adımlarında, genel kabul gören ve bilinen uygulamalara yer verilmemiş olması 27 Nisan 2007 17 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Denetimde Karşılaşılan Güçlükler Hazırlık çalışmalarının istenilen ölçüde tamamlanamaması Denetimi ilk defa gerçekleştirmenin getirdiği tecrübe eksikliği Risklerin tanımlanmasında net bir tanım oluşturamama Dokümantasyonun içinde tekrarların olması Rapor formatının geç oluşturulmasi Denetim Denetim planlarının oluşturulmasındaki gecikmeler Eleman eksikliği ve kayıpları Yönetmelik öncesinde Yeterli ve deneyimli kadroların istihdam edilememesi 27 Nisan 2007 18 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved İçerik 27 Nisan 2007 1. BBSD Kapsamı 2. COBIT 3. Uygulama Kontrolleri 4. Denetimde Karşılaşılan Güçlükler 5. Öneriler 19 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved Öneriler • Hayata geçirmek için zaman tanınmalı • Sözleşmeler onaya tabi olmalı • Denetim kapsamı standardize edilmeli • Rapor formatı basitleştirilmeli • Denetim yöntemi standardize edilmeli • Risk matrisi uygulamaya alınmalı • Kapsamda rotasyon uygulanmalı • İştirakler için minimum kapsam belirlenmeli • Yönetmeliğin adı ve denetçi ünvan kriterleri tekrar düzenlenmeli • Olgunluk seviyesi belirlenmesi zorunlu olmamalı • İş akışları tamamlanmalı 27 Nisan 2007 20 Audit & Enterprise Risk Services ©2007 Deloitte. All rights reserved