Professional Documents
Culture Documents
GTAG 17 BT Yonetisiminin Denetimi
GTAG 17 BT Yonetisiminin Denetimi
1
Global Teknoloji Denetim Rehberi (GTAG®) 17
BT Yönetişiminin Denetimi
Temmuz 2012
2
İçindekiler Tablosu
Yönetici Özeti 4
1-Giriş 7
Sonuç 35
3
Yönetici Özeti
1
Bu GTAG rehberinde kullanılan “kurul” kelimesi Standartlar sözlüğünde şöyle tanımlanmaktadır: Kurul;
yönetim kurulu, denetim kurulu, daire başkanı ya da yasama organı, kâr amacı gütmeyen bir kurumun yöneticiler
kurulu ya da tröstler kurulu gibi bir kurumun yönetim organıdır ya da iç denetim yöneticisinin işlevsel olarak
rapor vermesi gereken denetim komitesi de dâhil bir kurumun atanmış organıdır.
2
Kaynak: Accenture, ISACA/IT Yönetişim Enstitüsü, Peter Weill ve Jeanne Ross.
4
amaçlarla BT’nin uyumlaştırılması teknolojiye kıyasla daha çok yönetişimle ilgilidir.
Yönetişim; alternatiflerin değerlendirilmesini, faaliyetlerin usulüne uygun icra edilmesini ve
bu faaliyetlerin sonuçlarının izlenmesini sağlar. Aynı kavram ve aşamalar BT yönetişimi için
de geçerlidir.
Bu GTAG rehberi, BT’nin kurum strateji ve amaçlarını desteklemesi için gerekli olan mevcut
yönetişim alanlarını kapsar. Dengeli sonuç kartları, olgunluk modelleri ve kalite sistemleri
gibi etkili yönetişim ve performans çerçevelerine ilişkin unsurları da tanımlamaktadır. Bu
3
ROI: Bir yatırımın etkinliğini değerlendirmek ya da bir dizi farklı yatırımın etkinliğini karşılaştırmak için
kullanılan bir ölçüttür. ROI’yi hesaplamak için bir yatırımın faydaları (getiri) yatırımın maliyetine bölünür ve
sonuç yüzde ya da oran olarak ifade edilir.
4
CxO ifadesi farklı yöneticiler için kullanılır. C harfi yöneticiler ve icra/tepe/üst yönetim kadroları için
kullanılan bir terimdir. Kamu kesiminde farklı başlıklar kullanılsa da bu GTAG rehberinde ele alınan konu hem
kamu kesimi hem de özel sektör için geçerli bir konudur.
5
rehberde BT yönetişim riskleri, denetim planlama, teyit etme, test etme ve pratik denetim
programlarının geliştirilmesi için yararlı raporlama eylemlerini ele alan örnek kontrollerden
de bahsedilmektedir. Son olarak, bu GTAG rehberi, görev kapsamının tanımlanmasını,
denetim amaçlarının belirlenmesini ve ilgili risk ve kontrollerin değerlendirilmesini
sağlayarak BT yönetişim denetimlerini kolaylaştıracak öneriler sunar.
6
1. Giriş
Standart 2110 şöyle der: “iç denetim birimi, aşağıdaki amaçların gerçekleştirilmesi için
yönetişim sürecini geliştirecek değerlendirmeler yapar ve uygun tavsiyeler verir:
Birçok IIA standardında BT bağlamında iç denetçinin rolüne ilişkin bilgiler verilmiştir, ancak
hiçbirisi Standart 2110.A2 kadar açık değildir. Bu standart şöyle der:
“İç denetim birimi, kurumun bilgi teknolojileri yönetişiminin kurumun strateji ve amaçlarını
destekleyip desteklemediğini değerlendirmelidir.”
BT yönetişimi, risk iştahı ve tolerans seviyeleri dâhilinde kurumun genel BT risk profiliyle
kurumsal amaçlarının dengelenmesi ve kurumların BT ortamlarını daha iyi yönetebilmelerine
7
yardım edecek kontrol kombinasyonları ve süreçlerinden oluşur. BT yönetişimi, bir kurumun
genel amaç ve hedeflerine ulaşma becerisini artırır. İç denetim birimi, BT yönetişiminin
yapısını, etkinlik ve veriminin geliştirilmesi için BT işlevinin kuruma sonu
sonuç sunma ve tavsiye
verme becerisini değerlendirmelidir.
8
• Stratejik ve Operasyonel Planlama
Kurul ve üst yönetim alternatifleri değerlendirir, bunlara yön verir ve kurumsal strateji ve
amaçlarda başarıya ulaşılıp ulaşılmadığını izler.
Açık ve belirgin kurumsal yapılar, bu yapılara ait bileşenlerin operasyonel yapısı, bunların
birbiriyle nasıl iletişim kurduğu ve hesap verebilirlik protokolleri; kurumsal amaçları
gerçekleştirmek için BT’ ye yapılan yatırımlar esasında gerekli türde ve düzeyde hizmetleri
BT’nin sağlayabilmesi için gerekli unsurlardır. Ek olarak, yönetişim yapısı, kurumsal yapıyla
uyumlaştırılmalıdır. Örneğin stratejik yönetim kurumun genel merkezinde konumlandırılarak
merkezileştirilirse yönetişim yapısı da merkezileştirilmelidir. Ancak kurum âdemi merkezi
9
yapıda olur ve birimler daha bağımsız ya da özerk hareket ederse, yönetişim yapıları da âdemi
merkezileştirilmelidir. BT kurum inşası, daha iyi uyumlaştırmayı sağlayacak ve kurumsal
ihtiyaçları karşılayacak şekilde kurumsal yapıları yansıtmalıdır. Kurul ve üst yönetim, BT ve
CIO’nun yönetişime ilişkin stratejik kararlarda yer almasını sağlayarak BT’nin temel
kararlara değer katmasını sağlamalıdır.
1. Mevcut bir CIO var mı? Bu kişi üst yönetim ekibine dâhil mi?
10
Kullanılan üslubun etkinliğini belirlemek, bu üslubun kurum içindeki diğer tüm birimlere
nasıl aktarıldığını ve iletilen mesajların BT işlevi üzerinde nasıl etki ettiğini görmek
önemlidir. Aşağıdaki sorular iç denetçinin BT işlevinin kuruma ne düzeyde entegre edildiğini
görmesine ve anlamasına yardım edecek sorulardır:
Etkili BT yönetişiminin önemli bir bileşeni olan stratejik ve operasyonel planlama stratejik
planda yer almalıdır. Bu stratejik plan BT’ ye olan kurumsal bağımlılıkları ve planda
öngörülen amaçları gerçekleştirmek için BT işlevinin rolleri ve sorumluluklarını
tanımlamalıdır. Buna karşılık CIO da kurumun stratejik planıyla uyumlu bir taktiksel işletme
planı oluşturmalıdır. Bu işletme planı stratejik planda tanımlanan amaçlara ulaşılmasını
sağlamak ve bunları desteklemek bakımından BT işlevinin nasıl ölçüleceğine dair
mekanizmalar sunar. BT amaçlarının stratejik planda eksik saptanması ve tanımlanması
kurumun amaçlarıyla BT amaçlarının usulüne uygun uyumlaştırılmadığının bir göstergesidir.
Bu eksiklik, kurumun amaçlarına etkin ve uygun maliyetli bir yoldan ulaşamama riskini
artıran bir durumdur. Puan kartları ya da benzer yönetim araçları, stratejik planda tanımlanan
amaçlara ulaşma bakımından gösterilen BT çabalarını izlemek için kullanılabilir. BT’nin
kurumun amaçlarına ulaşmasında nasıl katkı sağladığı ölçülmelidir.
11
Aşağıdaki soruları kullanarak iç denetçi stratejik performans yönetiminin üst yönetim
tarafından ne kadar iyi uygulandığına dair bir bakış açısı kazanabilir:
1. Kurul ve üst yönetim BT’yi stratejik kurumsal bir ortak olarak görüyor mu?
2. Kurumun stratejik planı, değer oluşturmak ve desteklemek için BT’nin neden gerekli
olduğunu gösteriyor mu?
3. Stratejik plan, BT gereksinim ve çıktılarını dikkate alan münferit taktiksel işletme
planlarıyla destekleniyor mu?
4. Üst yönetim, BT işlevinin etkinliğini ölçmek ve izlemek için ana performans
göstergeleri (KPI’lar) kullanıyor mu?
5. Stratejik BT yatırım kararları doğru ve tam maliyet/yarar analizleri esas alınarak
yapılıyor ve uygulamanın ardından sonuçlar projelendirilen ROI’nin elde edilip
edilmediğini belirlemek için değerlendiriliyor mu? Alınan dersler gelecekteki BT
yatırım kararları için faktörlere ayrılıyor mu?
6. BT birimi, kurumun büyüklüğü ve kompozisyonuna kıyasla etkili bir şekilde
yapılandırılmış mı?
7. CIO ve BT liderliği kalifiye ve tecrübeli mi?
12
Hizmet sunumu için kullanılan ölçütler finansal yönetimi de içerir. Bu, BT maliyet/yarar
ölçümünü kontrol etmek ve izlemek için kullanılan önemli bir bileşendir. Aşağıda verilen
sorulara verilecek cevaplar BT finansal yönetiminin ne kadar iyi işlev gösterdiğinin bir
göstergesidir.
BT riskleri ve kaynakları (hem insan hem de teknik) nasıl yönetilir? BT’nin başarısı büyük
ölçüde kurul, CEO ve diğer üst yönetim üyelerinin yönlendirmelerine bağlıdır. Bu
yönlendirme, kurumsal stratejik plan ve yapıyla inşa edilir ve bildirilir.
BT bileşenleri doğası gereği teknik olsa da, BT yönetişim seviyesinin ölçümü daha az teknik
içerir. İç denetçiler, aşağıdaki soruları sorarak BT yönetişim ortamına ilişkin ileri düzeyde bir
anlayış kazanabilirler.
13
Bu temel sorulara verilecek cevaplar iç denetçinin BT yönetişim denetim faaliyeti için gerekli
en iyi kapsamı belirlemek ve faaliyeti en iyi şekilde icra etmek için gerekli temeli inşa
etmesini sağlar.
14
ve hedefleri gerçekleştirme imkanı verir. İç denetim, BT ölçütleri ve amaçları
arasındaki bağlantının kurumsal hedeflerle uyumlu olup olmadığını, onaylanan
inisiyatiflerde ilerlemenin yeterli düzeyde ölçülüp ölçülmediğini belirler ve ölçütlerin
ilgili ve kullanışlı olup olmadığına dair bir görüş bildirir. Bunlara ek olarak, iç denetim
birimi, ölçütlerin doğru ölçülüp ölçülmediğini ve BT işlemlerine dair gerçekçi görüşler
yansıtıp yansıtmadığını ve yönetişimin taktiksel ve stratejik bazda olup olmadığını
teyit eder.
BT Yönetişiminin Kurum ve BT Ortamında Gözlemlenen Değişikliklere Karşı
BT’nin Uyumunu Kolaylaştırması: BT yönetişimi, sorumluluklarını daha iyi
yönetmek ve BT personeli için tanımlanmış süreçler ve roller/sorumluluklar
aracılığıyla kuruma destek olmak için BT’ ye bir temel sağlar. Böyle bir resmi süreçle
BT olası anormallikleri günlük bazda ve eğilim belirleme şeklinde daha iyi tanımlama
ve temelde yatan sorunu belirleme imkânına sahiptir. Ek olarak, BT yeni ya da
zenginleştirilmiş kurumsal kapasiteler için dosya bazında yapılan taleplere daha kolay
uyum gösterebilir. İç denetim, BT’nin bilinen sorunları nasıl ele aldığını
değerlendirmek için yardım masası ve problem yönetimi gibi veri kaynaklarını
değerlendirebilir. İç denetim, ihtiyaçlara nasıl öncelik verildiği ve kurumun değişen
ihtiyaçları temelinde ihtiyaçların öncelik sırasını değiştirmek için gereken esnekliğin
olup olmadığını anlamak için de BT portföy yönetim süreçlerini gözden geçirebilir.
2. BT Yönetişim Riskleri
ITGI6 tarafından yapılan araştırma, yüksek performans gösteren kurumların BT işlevi ile
kurum arasındaki uyumlaştırmadan sonra daha etkili BT yönetişim programlarına ve
süreçlerine sahip olduğunu stratejik açıdan ortaya koymuştur. Daha özel bir anlatımla, BT
yönetişimini güçlendirmek için kurumların aşağıda sayılan şu bulgulara ve sonuçlara yer
vermesi gerektiği bu araştırmanın sonuçlarıyla ortaya konulmuştur:
16
Kurum geneli BT değer ölçümleri mevcut olmalı ve yapılmalıdır.
Bölüm 1 ve 2’de de belirtildiği gibi, BT ile kurumun amaçları arasında uyum, etkili BT
yönetişimin göstergesi olan beş temel bileşen ele alınarak yapılmalıdır. Bu uyum çalışmaları,
BT işlevinin faaliyetleri aracılığıyla BT’ ye kurumsal amaçları desteklemesine usulünce
imkân verecek etkili stratejik yönetim ve kurum yapıları gerektirir. Finansal yönetim ve
performans yönetim birimleri, kurumsal amaçlara ulaşılmasını sağlayacak şekilde BT
faaliyetlerini yönlendirecek, yönetecek ve izleyecek araçlar sağlamalıdır.
Kurumsal yapı, teknolojik inşa mülahazalarıyla birlikte ele alınmalıdır. Teknolojik inşa süreci,
kurumu kurum için değiştirilmesi çok maliyetli ve kurumsal ihtiyaçları yeterince
desteklemeyen büyük yatırımların yapılması gereken bir noktaya taşıyabilir. Kurum ile BT
arasında uyumu sağlamak için maliyet – yarar tartışmaları hem kurul düzeyinde hem de üst
yönetim ekibi düzeyinde yapılmalıdır. Bu kritik unsurların hepsi liderlik ile bağlantılıdır. Üst
yönetim ekibi ve yönetimde yer alan diğer temel üyeler uygun üsluba sahip olmalı ve stratejik
amaçlar ve ROI’nin optimal düzeyde gerçekleştirilmesi için BT ile kurumun nasıl
uyumlaştırılacağına dair sürece açık ve belirgin bir yön belirlemelidirler. Bunun için de üst
yönetimin BT’yi ve onun özelliklerini ve yapısı gerektirdiği riskleri anlaması gerekir.
Aşağıdaki bölümde BT yönetişiminin beş ana bileşenine dair daha fazla bilgi verilmekte,
kurum ile BT arasında yapılabilecek bazı yanlış uyumlaştırmalara ve bunun risklerine dair
bilgi verilmektedir.
Merkezi bir işletme modelinin olduğu durumlarda, standartlar ve süreçler kurumsal birimler
arasında daha kolay uygulanabilir. BT perspektifinden bakıldığında altyapı ve uygulamalar
gibi bileşenler – destekleyici standartlar ve prosedürler dâhil – yeknesak bir yapıda
17
uygulanabilir. Ek olarak, BT altyapısı ve uygulamaları için yapılacak yatırımlarda en uygun
yatırım seçeneklerini seçmek için kurum yapısının nasıl işlediği ve doğal riskler konusunda
CIO’ya kurul ve üst yönetim tarafından bir anlayış kazandırılması önemlidir.
Başarılı BT yönetişiminin bir özelliği, kurumsal liderlerin hesap verebilir olmasıdır. Kurumsal
yapılar, idari yapıları ve rol sorumluluklarını açıkça belirlemelidir. Kurumun stratejik
hedefleri ve amaçları, operasyonel amaç ve hedeflere doğru yönlendirilmeli ve birim
liderlerine objektif başarı için sorumluluk verilmelidir. Bu sorumluluk, özellikle performans
izleme ile bağlantılandırıldığında şeffaf bir hesap verebilirlik sürecini teşvik eder. Birim
yöneticileri, sorumluluk alanlarındaki kaynakları yönetmekle yetkilendirilmelidir. Bu durum,
yöneticilerin kendilerinden beklenen performans hedeflerine ulaşmalarını sağlar.
Kurumsal birimler ile BT arasındaki etkileşimler resmi ya da gayri resmi yolla gerçekleşir.
Resmi bir bakış açışıyla düzenli iletişim, kurumsal birimler ve BT liderlerinden oluşan bir
komite aracılığıyla sağlanır. Bu yapının bir gereği olarak her bir birimin amaçlarını
destekleyecek ve bunları daha da ileriye taşıyacak en etkili yöntemleri belirlemek için
kurumsal birim liderleri, CIO ve diğer BT işlevi liderleriyle toplanır. BT ortamı için önemli
değişikliklere ihtiyaç duyulduğunda, bunun için gerekli çabalar üst yönetime rapor veren ayrı
bir proje birimi aracılığıyla yürütülen bir proje olarak organize edilir (Bakınız: GTAG 12:BT
Projelerinin Denetlenmesi).
Bugün pek çok kurum BT işlevlerini kısmen ya da tümden dış hizmet sağlayıcılara
yaptırmaktadırlar. Bu tür düzenlemelerin birçok faydası olmakla birlikte konu BT’nin
18
stratejik kullanımına geldiğinde riskler de içermektedir. Kaynak sağlayan bir ortağın
idaresi, sadece performansı izlemeyen aynı zamanda kurum içinde hizmet sağlayıcıları
sorumlu tutabilecek uygun yetkiye sahip liderleri de içeren uygun bir yapı gerektirir.
Performans hedefleri, hizmet seviyesi anlaşmaları (SLA’lar) ve puan kartları, BT hizmet
sağlayıcılarını idare etmek ve izlemek için kullanılan bazı araçlardır. Hizmet dış kaynağa
verildiği için üst yönetimin BT hizmetlerinin sunumuna ilişkin nihai sorumluluğunu
bırakmadığını anlamak ve akılda tutmak önemlidir. Aşağıdaki tablo kurum ile BT
arasındaki olası yanlış uyumlaştırmaların bazı göstergelerini listelemektedir.
BT yatırımları kurumun genel bütçesine kıyasla büyük olabilir ve kurul ve üst yönetimin
mümkün olan en iyi kararın verilebilmesi için maliyet – yarar analizi ve RIO hesaplamalarını
temel olarak almasını gerektirir. Hatalı yatırım kararları risklerini azaltmak için kurum
liderlerinin BT’nin önemli özelliklerini bilmesi ve anlaması gerekir. Bir kurumun BT yapısı, o
kurumun misyonu, vizyonu ve stratejisini doğrudan doğruya yansıtır.
Aşağıdaki tabloda kurum ile BT arasında liderlik ve bilgi bakımından yaşanabilecek olası
kopuklukları gösteren bazı unsurlar listelenmiştir. Uygun BT yatırımlarını yapabilmek için
CIO kurumun vizyon, misyon ve bunlarla bağlantılı stratejisine aşırı derecede güvenir.
Bununla birlikte kurumsal vizyon, misyon ve strateji ile BT’nin kurumsal rolü açık ve belirgin
olmadığında bu güven, BT sermayesinin etkin olmayan bir biçimde kullanılmasına yol açar ve
bu da kurumun amaçlarına ulaşma becerisini azaltır.
19
bir şekilde tahsisi.
BT üst yönetimince sunulan kurumsal odağın çekirdek BT çabaları bir odakta toplamayı ya da kaynakların
noktasının eksikliği verimsiz kullanımını saptamayı beceremez.
Üst yönetim ve birim liderleri BT’ ye ilişkin gerçek Fırsatları kaçırma ve BT yatırımlarından düşük getiri
bir anlayıştan yoksun olması elde etme olasılığı.
BT’nin stratejik öneminin değerlendirilmemesi BT’nin kurumda rolünün ne olduğunun yanlış
anlaşılması.
20
belirtilmesi ve bunların ayrı ayrı ölçülmesi de önemlidir. Çıktı ölçütleri kullanışlı ve ölçümün
tek yolu olabilir ancak iç denetçiler bunları gerçekleşen çıktılara kıyasla analiz etmelidir. Ek
olarak, performans esaslı sözleşmeler ve teşvikler, kurumun amaçlanan yönetişimi
gerçekleştirmesini sağlamak için gözden geçirilmelidir. Uygulama sonrası yapılan gözden
geçirmeler, nelerin çalıştığını nelerin çalışmadığını öğrenmek ve bunlara dair bilgi sahibi
olmak için faydalı araçlardır.
BT maliyetlerin etkin ve verimli yönetimi, bir yandan bütçenin uygun kullanımını sağlarken
bir yandan da BT işlemlerinden değer elde etme olasılığını artırır. BT’ ye ilişkin finansal
ölçütler stratejik, operasyonel ve teknik seviyelerde önemli bir rol oynar. BT çıktıları, değer
katkısını göstermek ve kurumsal birimler düzeyinde BT hizmetlerinin maliyetini anlamak ve
yönetmek için ölçülmelidir. BT finansal ölçütlerinin stratejik ve performans yönetimi
ölçütleriyle birlikte, el ele çalıştığı da ayrıca not edilmelidir. Hizmet sunumu finansal
21
verilerden çok daha fazlasını içerir ancak BT yatırımlarında karlılığı sağlamak için finansal
verilere odaklanmak gerekir.
Finansal yönetimin önemli bir yönü, doğru bilgileri çıkarabilme ve bileşenleri doğru ve
düzgün bir biçimde ölçebilme kabiliyetidir. Finansal verilerin etkili bir şekilde analiz
edilebilmesi için detaylara ihtiyaç vardır. Aşağıdaki tabloda finansal yönetim perspektifinden
BT ile kurumun yanlış uyumlaştırıldığını gösteren bazı göstergelere yer verilmiştir.
BT’nin teknik/operasyonel ve finansal performans Amaçlar ile stratejik misyon arasında uyum eksikliği
ölçümünün yapılmaması
Kurum İnşası
Kurumun teknik inşası, kurumun işletme modeli esas alınarak geliştirilmeli ve kurumun
22
stratejisiyle uyumlaştırılmalıdır. Daha homojen bir altyapı sunması ve tüm kurumdaki
süreçleri destekleyen daha az uygulama barındırması bakımından merkezi bir işletim modeli
daha yararlı olabilir. Bu ayrıca bilginin daha kolay paylaşımını sağlar ve standardizasyonunu
kolaylaştırır ve izleme ve karar verme amacıyla birimler arasında daha iyi ve daha eksiksiz
rapor alışverişi sağlar. Halihazırda değişiklik geçiren ya da büyümeye dair büyük hedeflere
sahip bir kurumun, değişikliğe ve büyümeye imkan verecek ve bunu destekleyecek uygun
teknik kurum inşasını geliştirebilmesi için BT ile güçlü etkileşime ihtiyacı vardır.
Kurum müşterilere tek tip hizmetler ve ürünler sunduğunda daha merkezi bir yönetim yapısı
ve işletme modeli beklenebilir. Bunun tam tersi bir durum varsa, kurumun BT yönetişiminin
etkinliğinden ödün vermeyen iyi nedenler de olabilir. Âdemi merkezi bir işletme modelinde
stratejik işletme birimlerinin (SBU) daha bağımsız ve özerk çalışmasına, kendi bütçelerinin
olmasına, farklı uygulamaları ve BT altyapılarını kullanmalarına izin verilir. Sonuç olarak
uygulamalar, BT altyapısı, süreçler ve prosedürler bakımından kurumun tümünde tek bir BT
standartlar kümesinin etkin ve verimli bir biçimde kullanılmasında başarılı olması mümkün
olmayabilir. Ölçeklenebilirlik daha az mümkündür fakat BT yatırım ROI’sinin kümeleşmesini
sağlayan âdemi merkezi yapının da geçerli nedenleri olabilir.
Uygun bilgi güvenliği yönetimi kurumsal işletme modeline bağlıdır. Merkezi bir komuta
yapısında bilgi güvenliği politikaları ve prosedürlerinin tüm kurum düzeyinde uygulanması
daha kolaydır, âdemi merkezi yapıda ise daha farklı yaklaşımların sergilenmesi gerekir.
İşletme modeli ne olursa olsun çeşitli BT ortamları ve bunların bileşenleri arasındaki teknik
farkların yanı sıra bilgi güvenliği risk iştahı ve risk tolerans seviyeleri de rol oynar.
23
BT yönetiminin uygun ve etkin bir bilgi güvenliği yönetim programı olması için öncelikle
yapısal olarak büyük riskler taşıyan alanların belirlenmesi ve kavranması gerekir. Risk
değerlendirme ve çeşitli risk yanıt yöntem ve teknikleriyle BT yönetimi bu riskleri yönetebilir
ve kabul edilebilir bir artık risk düzeyine indirebilir.
Uygun risk yönetimi olmadan BT yönetiminin, altyapı ve bilgi sistemleri de dâhil fakat
bunlarla sınırlı kalmamak üzere önemli BT varlıklarına karşı bilinmeyen risk noktalarıyla
karşılaşması çok büyük bir olasılıktır. Ayrıca BT yönetiminin risk değerlendirme sonucu elde
edilen bulgulara yanıt vermesi de hayati önem taşır. BT yönetimi bunu yapmazsa riskler
yeterince yönetilemez ve BT yönetişimi ve süreçlerinden çeşitli ödünler verilir.
Verimsiz bir BT yönetişim modelinden daha verimli ya da optimal bir modele geçiş süreci
24
sürekli ilerleme gerektiren alanlardan biridir ve hiçbir kurum için tam anlamıyla çözüm üreten
çözüm ya da bir model yoktur. Optimizasyon süreci, akşamdan sabaha bir anda gerçekleşen
bir süreç değildir. Kurul ile üst yönetimin şirket yönetişimi genel konsepti ile BT yönetişimi
arasındaki temel ilişkiyi anlamadığı durumlarda kurum ile BT arasında optimum düzeyde bir
uyumlaştırmayı başarmak zor olabilir. Kurul ve üst yönetimin kurum içindeki BT
kontrollerine ilişkin bazı temel yönleri anlaması da gerekir. BT kontrolleri yönetim ve
yönetişimi destekleyen kontrollerdir ve aynı zamanda uygulamalar, bilgi ve insanlar gibi BT
altyapısı unsurları için genel ve teknik kontroller sağlar.
Güçlü BT-kurum uyumlaştırması, üretkenliği artıran kritik bir yönetişim unsurudur ve etkili
BT yönetişimi için aşağıdaki genel unsurları içermesi gerekir:
Etkili BT yönetişimi, üst yönetim BT yatırım döngüsünde temel bir rol oynadığında ve alınan
sonuçlara karşı hesap verebilir nitelikte olduğunda gerçekleşir. Üst yönetim, hesap verebilirlik
ilkesini ilgili karar alma süreçlerinde, ölçütlerde etkin bir biçimde yer alarak ve bunları üstten
aşağıya ilgili paydaşlara uygulayarak uygular. Yapılan bir araştırma en başarılı karar alıcıların
bilginin bileşenlerine inme kapasitesiyle düşük seviyeli ölçütlerin olduğu beş ile yedi arasında
ölçüt içeren bir kümeye odaklandığını göstermektedir.
Bölüm 1’de yer alan şekil BT yönetişim çerçevesinin farklı seviyeleri için en yaygın rolleri,
çerçeveleri ve standartları göstermektedir. Bu GTAG rehberinde de gösterildiği gibi BT
yönetişimi daha çok yönetişim daha az teknoloji odaklıdır, Ancak kurum ile BT arasında
uyumlaştırmanın gerçekleşmesi ve BT’nin uygun yönetimi için BT ve BT’nin kurum
üzerindeki etkilerinin kurul ve üst yönetim tarafından anlaşılması gerekir.
Yumuşak (Gayri resmi) kontroller genelde yeterlilik, değerler, açıklık, liderlik ve beklentiler
gibi soyut amaçları ele alır. Sert kontroller ya da diğer bir ifadeyle resmi kontroller politika ve
prosedürler, kurumsal yapılar, raporlama mekanizmaları ve kurulu iç gözden geçirme
süreçleri gibi bir kurum tarafından kullanılan belgelenmiş ya da somut kontrol amaçlarını ele
alır.
Olgunluk Modeli
Etkinliği artırmak, daha iyi BT yönetişim seviyesine ulaşmak için belirlenmiş bir çerçeveyle
bağlantılı olarak İDY, amaçları karşılaştırmak ve BT yönetişim ortamının mevcut yapısına
dair kurul ve üst yönetime bildirmek yapmak için bir olgunluk modeli kullanabilir.7
BT yönetişiminin karmaşık yapısından dolayı İDY ve iç denetim ekibi, karar alıcılar için
öncelik sırası önemli olmayabilecek alanlarda kurula ve üst yönetime değer katabilecek,
onlara görüş verebilecek konumdadırlar. İDY kurumun mevcut kurul ve üst yönetim
araçlarının bazılarının BT yönetişimi bağlamında nasıl geliştirilebileceği konusunda gözden
geçirmeler sunabilir. Daha önce de belirtildiği gibi BT yönetişimi iyi ve etkin uygulamalar ve
bilenen çerçeveler esas alınarak icra edilmelidir. Bu BT yönetişim uygulamalarının
7
COBIT 4.1, 2011 kullanan COBIT Süreç Değerlendirme Modeli (PAM), ISACA
26
kullanımı, kurumun stratejik amaçlarına ulaşmasına yardımcı olacak kontrolleri içermelidir.
Aşağıdaki bölümde bu kontrollerin bazılarına ilişkin bazı ilave noktalar üzerinde durulmuştur.
Tablo 1: BT Yönetişimi Kontrol Noktalarında sunulan BT Yönetişim kontrol noktası
çerçevesinin anlaşılması ve kullanılması özellikle önemlidir.
Kontroller kümesi, aşağıdaki Tablo -1’de gösterilen çok boyutlu bütünleşik bir şekil olarak
kavramlaştırılabilir.
27
Tablo 1: BT Yönetişim Kontrol Noktaları
İNSANLAR SÜREÇLER TEKNOLOJİ
İnsan Kaynağı Kurumsal Kurumsal Roller Kurumsal Teknolojiler ve Araçlar
Organlar Araçlar
BT Şirket Kurul Üst BT Stratejisi Kurumsal Planlar
Yönetişimi Stratejik Kültürü Yöneticiler BT Kurumsal BT
Düzey Değerler CEO, Finans Politikaları dengeli sonuç kartı
İnanışlar Yöneticisi, Bilgi İnşası Hizmet Seviyesi
Davranışlar Başkan Bilgi Gözetimi
Yardımcıları, Güvenliği
İşletme İnşası
Yöneticileri,
Bilgi
Yöneticisi
Beceri BT tarama Bilgi BT Standart Çoklu Birimsel BT
Kümesi komitesi Yöneticisi ve Dengeli Sonuç Kartı
Taktiksel Kaynak Diğer Uygulamalar Politikaları Proje Ölçütleri
Düzey Stratejileri kolektif BT Yöneticisi Güvenlik Uygulama Sistemleri
taktiksel Program/Proj Taban Ölçütleri
organlar e Yürütme Çizgileri Hizmet Seviyesi
BT Yöneticisi Proje Anlaşmaları
Yönetimi Müdürler Yönetim
Yöntemleri
Hizmetler
Seviyesi
Yönetimi
BT yönetişimi, kurumun genel kontrol ortamı içinde mevcut olan bir süreçtir. Kurumsal
Yönetişim King III Raporu (2009) özellikle BT yönetişimin etik yönlerine vurgu yaparak BT
kullanımına dair sorumlulukları daha iyi anlamak ve farkında olmayı sağlar.
“5.1.3. Kurul, etik bir BT yönetişim kültürünü ve ortak bir BT dili farkındalığını teşvik
etmelidir.”
28
BT Standartları, Politikalar ve Prosedürler
BT yönetişim paydaşları, beklenen çıktıları gözden geçirmek, bunları izlemek, idare etmek ve
bunlara ulaşılmasını sağlamak için kurumsal BT amaçlarını ve inisiyatiflerine ilişkin tutarlı ve
anlamlı bir kavrayış sahibi olmalıdır. Dengeli puan kartı gibi teknikler ve araçlar bu ihtiyacı
karşılayabilir.
İç Denetçi, kurul ve üst yönetime yönetişim yapıları ve süreçlerine dair güvence ve tavsiye
sunabilecek bir pozisyonda olmalıdır. İDY, BT yönetişim ortamındaki ilişkileri anlayabilecek
benzersiz bir pozisyona sahip olduğu için BT yönetişim sürecinden sorumlu kişilere
bildirilmesi gereken yeni ortaya çıkan durumların farkında olmalıdır. Uygun danışmanlık
hizmetlerini sunmak için İDY, kurumun büyük resme odaklanmasına yardımcı olacak
stratejik geliştirme tekniklerini kullanmalıdır. Ayrıca kurumun üst yönetişim komitesi ya da
buna benzer bir grup şunları sağlamalıdır:
29
4. BT Yönetişiminde İç Denetimin Rolü
Kurumun etkinlik ve verimliliğini değerlendirmek daha talep edilen bir durumdur ancak
kurumun yönetişim düzeyinin istikrarlı olup olmadığı ve kurumsal stratejiler ve amaçları
destekleyip desteklemediğini belirlemek de gereklidir.
Takip eden bölümde verilen bilgiler, ilk olarak Giriş bölümünde sunulan beş BT yönetişim
bileşeninin her biri için iç denetçinin odaklanılması gereken alanlara ilişkin tavsiyeler içerir.
Mevcut bir CIO olup olmadığını ve bunun üst yönetim ekibinin bir üyesi olup
olmadığını saptamak için kurumsal yapının gözden geçirilmesi
Yönetişim faaliyetlerinin ve standartların iç denetim faaliyetinin kurumun risk iştahını
anlama düzeyiyle ne ölçüde tutarlı olduğunu denetlemek
İç denetim şartıyla imkan verilen ve kurul tarafından onaylanan danışmanlık görevleri
Anlamlı kurumsal ve risk değişikliklerinin zamanında ele alınmasını sağlamak için BT
yönetişim faaliyetiyle hâlihazırda kurulan diyaloglar
BT yönetişim faaliyetinin IIA Standart 2110 ile tutarlı resmi denetimleri
Bu GTAG rehberinde daha öncede belirtildiği gibi etkili bir yönetişim programının ön şartı
üst yönetim kültüründe ve düşünce yapısında doğru üslubun yaratılması ve aktarılmasında
yönetici liderliğin etkinliğidir. Ayrıca BT işlevinin kurumun stratejik planıyla
uyumlaştırılması ve onun bir parçası olmasını sağlamada da kurul ve üst yönetim çok önemli
bir role sahiptir. Denetim perspektifinden bakıldığında Standart 2130.A1 şöyle der:
“İç denetim faaliyeti kurumun yönetişim, işlemler ve bilgi sistemlerine ilişkin riskleri ele alan
kontrollerin etkinliği ve tamlığını aşağıda sayılan noktalar bakımından değerlendirmelidir:
31
Varlıkların korunması
Kanun, yönetmelik ve sözleşmelere uygunluk”
İç denetim faaliyeti, Standart 2110 ile uyumlu bir şekilde BT yönetişiminin kurumsal strateji
ve amaçları destekleyip desteklemediğini ve sürdürebilirliğini değerlendirmek de dahil
yönetişimle bağlantılı denetimler gerçekleştirmelidir. İç denetçi, BT yönetişim programının
mevcut olmadığı, yeterli düzeyde tasarlanıp kontrol edildiği ya da olması gerekenden daha az
ya da daha fazla kontrol edildiği durumlarla da karşılaşabilir. Her bir kurumun BT yönetişim
programı farklıdır ancak her bir program stratejik amaçların başarılması gibi BT’nin yeterince
yönetilip yönetilmediğini yönetime söylemeye yarayacak yeterli performans bileşenlerine
sahip olmalıdır.
32
Hizmet Sunumu ve Hizmetlerin Ölçümü
Yanlış uyumlaştırmanın risklerine dair bilgilerin verildiği bölümde de belirtildiği gibi finansal
yönetimin doğru bilgileri çıkarma ve ölçme kabiliyetine sahip olması onun önemli bir
özelliğidir.
Finansal verilerin etkin bir şekilde analizi için detayların olması gerekir. Hem finansal hem de
finansal olmayan ölçümler için bir performans çerçevesi inşa etmek etkin bir BT yönetişimi
için gerekli unsurlardan biridir.
33
bağımsız standartlara kıyasla karşılaştırmasını da yapmalıdır. İç denetçi, yönetimin kendi
kıyaslama ölçütünü kullanıp kullanmadığını da teyit edebilir ve böyle bir durum varsa, bu
kıyaslama faaliyetlerini gözden geçirir. Bu düzeyde yapılan bir gözden geçirme BT yönetişim
programının yapısına ilişkin bazı güvenceler sağlar ancak BT yönetişim çerçevelerine uygun
olmayabilir. Kıyaslama görevi, çok yıllı bir denetim planı için iyi bir başlangıç noktası olabilir
çünkü ilave gözden geçirmeler yapılmadan önce yönetişim yapısındaki tasarım boşluklarını
ele almak için yönetime zaman tanır. Bu yaklaşım, İDY’nin iç denetim kaynaklarını etkin
yönetmesini sağlar çünkü denetim faaliyetinin programın temel beklentileri karşıladığına dair
makul güvenceler verdiği noktaya kadar uygunluk testleri gerçekleştirilmeyebilir.
Yönetimsel raporlama
Onay ve belgelendirmeye ilişkin istisnalar
Risk değerlendirmelerinin tutarlılığı
Ölçütlerin etkin kullanımı
Yeni ortaya çıkan kurumsal ihtiyaçlar ve dış değişikliklere ilişkin zamanında yapılan
güncellemeler
Kurul ve komite toplantı tutanakları
Stratejiler ve planlar
Kurumsal değişiklikler ve yönetim üyeleriyle yapılan mülakatlar
34
altında hesaplayacak ve bunun sonucunda da kurum temel kurumsal amaçlara ulaşmayı
başaramayacaktır.
“Bildirimler cari sonuçlar, tavsiyeler ve eylem planlarının yanı sıra görevsel amaçları ve
bunların kapsamını içermelidir.”
35
Sonuç
Bu GTAG rehberinin bir BT yönetişim denetimi icra edilirken iç denetçiler tarafından bir araç
olarak kullanılması ve onlara kullanabilecekleri yüksek seviyeli bir yöntem sağlaması
amaçlanmaktadır.
Hem performans hem de risk yönetimi bu faaliyetlerin bütünleşik bir parçasıdır ve kurul ve
üst yönetim bu faaliyetler aracılığıyla alternatifleri değerlendirir, yönlendirmeler yapar ve
verilen yönlendirmeleri izler ve takip eder.
Yazarlar:
Fernando Nikitin, CIA, CCSA, CRMA, CISA, CGEIT, CISM, CRISC, CISSP
Gözden Geçirenler:
Steven E. Jameson, CIA, CCSA, CFSA, CRMA, CPA, CFE, CBA, CGMA
36
EK – BT Yönetişim Risk Değerlendirmesi / Görev Planlamaya İlişkin
Değerlendirmeler
37
BT KURUM &RİSK YÖNETİMİ
BT altyapısı ve uygulamalarının çok karmaşık mı?
GTAG®
38
Enstitü Hakkında
1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet
gösteren bir kuruluştur ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur.
IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, esas savunucusu ve temel
eğitmenidir.
Mesleki Uygulama Rehberleri, iç denetim faaliyetlerinin icra edilmesi için detaylı bilgiler
sunarlar. Araçlar ve teknikler, programlar, aşama aşama izlenmesi gereken yaklaşımlar gibi
süreç ve prosedürlere ilişkin detaylı bilgilere ek olarak örneklere de bu rehberlerde yer verilir.
Mesleki Uygulama Rehberleri IIA’in yayımladığı UMUÇ'un bir parçası değildir. Israrla
tavsiye edilen rehberler kısmında yer aldığı için bu rehbere uyulması zorunlu değildir ancak
uyulması önemle tavsiye edilir. Bu rehber, resmi bir gözden geçirme ve onay sürecinin
ardından IIA tarafından tasdik edilmiştir.
Sorumluluk Reddi
Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit
koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanır. IIA, doğrudan doğruya
belirli koşullar için bağımsız bir uzmana başvurmanızı daima tavsiye eder. IIA yalnızca bu
rehbere güvenme durumlarından doğabilecek zararlar için sorumluluk kabul etmez.
Telif Hakkı
www.globaliia.org
39