Bilgi Sistemleri Yönetimi Ders Notları

Temel Kavramlar

• Risk İştahı: İşletmenin hedeflerine ulaşmak için göze alabildiği risk seviyesidir.
• Risk Kapasitesi: İşletmenin finansal ve hukuki olarak kaldırabileceği maksimum risk miktarıdır.
• Kalite Güvencesi: Hata önleme odaklı, tüm süreçleri kapsayan planlı faaliyetlerdir.
• Balanced Scorecard (BSC): Finansal, müşteri, iç süreçler ve gelişim perspektiflerini içeren dengeli performans ölçüm aracıdır.

Temel Kavramlar

• Çıkış Stratejisi: Hizmet sağlayıcı ile ilişkinin iş süreçlerini aksatmadan sonlandırılması planı.
• Yoğunlaşma Riski: Pazarda az sayıda servis sağlayıcının hakim olmasıyla rekabetin azalması.
• CLM (Sözleşme Yaşam Döngüsü): Sözleşmenin imzalanma öncesinden yenilenmesine kadar geçen tüm süreçlerin yönetimi.
• BS Denetimi: Varlık koruma, veri bütünlüğü ve verimlilik için kanıt toplama ve değerlendirme süreci.

Temel Kavramlar

• Önleyici Kontroller: Hataların, ihmallerin ve yetkisiz kullanımların meydana gelmesini engellemek için tasarlanmış kontrollerdir (örn. anti-virüs, erişim kontrolü).
• Tespit Edici Kontroller: Hataların, ihmallerin ve yetkisiz kullanımların meydana geldiği zamanları tespit etmek ve raporlamak için tasarlanmış kontrollerdir (örn. iç denetim, iz kayıtları).
• Düzeltici Kontroller: Hatalar, eksiklikler ve yetkisiz kullanımlar tespit edildikten sonra bunları düzeltmek için tasarlanmış kontrollerdir (örn. iş sürekliliği planı, yedekten dönme prosedürü).
• İşlevsel Kontrol Türleri: Kontrollerin teknik, fiziksel ve idari olmak üzere üç ana başlık altında sınıflandırılmasıdır.

Önemli Formüller

Temel Kavramlar

• Uyumluluk Testi: Kontrollerin varlığının ve uygunluğunun değerlendirilmesi.
• Önemli Doğruluk Testi: İşlemlerin veya herhangi bir bilginin bütünlük ve doğruluğunun değerlendirilmesi.
• Bilgi Sistemleri Denetimi: Bilgi sistemlerinin ve iç kontrollerinin uyumluluk, etkinlik ve yeterliliği hakkında görüş oluşturulması.
• Risk Tabanlı Denetim Yaklaşımı: Denetim kaynaklarının riskli alanlara yönlendirilmesini esas alan yaklaşım.

Temel Kavramlar

• Özel Bağımsız Denetim: Sermaye piyasası araçlarının halka arzı, birleşme, bölünme gibi özel durumlar için düzenlenen finansal tabloların denetimi.
• Mesleki Şüphecilik: Denetçinin sorgulayıcı bir yaklaşımla hareket ederek, hata veya hile kaynaklı yanlışlığa işaret eden durumlara karşı dikkatli olma ve denetim kanıtlarını titizlikle değerlendirme tutumu.
• Mesleki Muhakeme: Mevzuat, standartlar ve etik çerçevesinde, eğitim, bilgi ve deneyimi kullanarak bilgiye dayalı kararlar alma yeteneği (mesleki yargı).
• Makul Güvence: Finansal tabloların önemli bir yanlışlık içermediği konusunda yüksek ancak mutlak olmayan bir güvence düzeyi.

Temel Kavramlar

• İşletmeler, en az iki üyeden oluşan denetimden sorumlu komite kurmak zorundadırlar. Bu, komitenin temel kuruluş şartlarından biridir.
• Denetimden sorumlu komite, bağımsız denetim kuruluşunun seçimini, sözleşmelerin hazırlanmasını ve çalışmalarını gözetir; ancak bağımsız denetim raporlarının kamuya açıklanması görevi doğrudan komiteye ait değildir, bu genellikle yönetim kurulunun sorumluluğundadır.
• Denetimden sorumlu komite, en az üç ayda bir olmak üzere yılda en az dört kere toplanır ve toplantı sonuçları tutanağa bağlanarak yönetim kuruluna sunulur.
• Denetimden sorumlu komitenin görev ve sorumluluğu, yönetim kurulunun Türk Ticaret Kanunu'ndan (TTK) doğan sorumluluğunu ortadan kaldırmaz. Bu, sorumlulukların devredilemez niteliğini vurgular.

Temel Kavramlar

• Kimlik Yönetimi: Kullanıcıların bilgi sistemlerine erişim ve kimlik doğrulama süreçlerinin yönetilmesi, parola politikaları ve çok faktörlü kimlik doğrulama gibi önlemleri içerir.
• Erişim Yönetimi: Kullanıcılara görev ve sorumluluklarına uygun, en düşük yetki prensibiyle erişim haklarının atanması ve rol tabanlı kontrolün uygulanmasıdır.
• Veri Gizliliği ve Bütünlüğü: Verilerin iletim, işleme ve saklama aşamalarında yetkisiz erişime ve bozulmaya karşı korunması, şifreleme ve bütünlük kontrol tekniklerinin kullanılmasıdır.
• Bilgi Sistemleri Sürekliliği: Sistem kesintilerine karşı hazırlıklı olmak için birincil/ikincil sistemlerin konumlandırılması, süreklilik planları, yedekleme ve kurtarma prosedürlerini içerir.

Temel Kavramlar

• Bilgi sistemleri bileşenlerinin yaşam döngüsü boyunca tutarlı, beklenen performans, kalite ve güvenlik düzeyinde çalışmasını sağlamak için her bileşen türü için temel yapılandırma ayarları belirlenmeli ve uygulanmalıdır. Ayrıca, gerekli olmayan tüm işlevler kapatılmalıdır.
• Bilgi sistemlerinde taşınabilir ortamlara bağlantı noktaları kapatılır. Taşınabilir ortamların kullanılabilmesi için geçerli bir iş gereksiniminin olması dikkate alınır ve bilgi güvenliği sorumlusu onayı aranır.
• Elektronik posta hizmetinin güvenliğinin sağlanması için şifreli iletişim esastır. Ayrıca, internet ortamında sahte elektronik posta gönderimini önlemeye yönelik geliştirilen etki alanı kimlik doğrulaması yöntemleri sahip olunan etki alanları için yapılandırılmalı ve bu yöntemler kullanılarak doğrulanmış etki alanlarından elektronik posta alınması sağlanmalıdır. Gelen ve giden bütün elektronik posta içeriği güvenlik analizinden geçirilmeli, zararlı yazılım ve bağlantılara erişim engellenmelidir.
• Kimlik doğrulama verilerinin şifrelenmemiş olarak açık metinle saklanması, Tebliğ'de belirtilen güvenlik önlemlerine aykırıdır. Tebliğ, bu verilerin güçlü şifreleme algoritmalarıyla şifrelenerek veya geriye dönüştürülmesi mümkün olmayacak şekilde saklanmasını zorunlu kılar.

Temel Kavramlar

• Bilgi sistemleri denetçi unvanları, kıdem sırasına göre en yüksekten en düşüğe doğru Sorumlu Bilgi Sistemleri Başdenetçisi, Bilgi Sistemleri Başdenetçisi, Bilgi Sistemleri Kıdemli Denetçisi, Bilgi Sistemleri Denetçisi ve Bilgi Sistemleri Denetçi Yardımcısı olarak sıralanır.
• Bilgi Sistemleri Denetçisi unvanı için 3 yıllık mesleki tecrübe şartı aranmaktadır. Bu, metinde 'Unvan', 'Tecrübe, Lisans ve Diğer Şartlar' sütunu altında açıkça belirtilmiştir.
• Bir bilgi sistemleri denetçisinin mesleki tecrübesi hesaplanırken şu hususlar dikkate alınır: **Adım 1: Temel Mesleki Tecrübe** Bilgi sistemleri kontrolü faaliyetinde geçirilen süre doğrudan mesleki tecrübeye dahil edilir. Bu durumda, 2 yıl profesyonel bilgi sistemleri kontrolü tecrübesi bulunmaktadır. **Adım 2: Yüksek Lisans Derecesinin Etkisi** Bilgi sistemleriyle ilgili alanlarda alınan yüksek lisans derecesi ilave 1 yıl tecrübe olarak sayılır. **Adım 3: Doktora Derecesinin Etkisi** Bilgi sistemleriyle ilgili alanlarda alınan doktora derecesi ilave 2 yıl tecrübe olarak sayılır. **Sonuç:** Toplam bilgi sistemleri bağımsız denetimi tecrübesi = 2 (Temel Tecrübe) + 1 (Yüksek Lisans) + 2 (Doktora) = 5 yıldır.
• Temel etik ilkeler Dürüstlük, Objektif Olma (Tarafsızlık), Mesleki Yeterlilik ve Özen, Sır Saklama ve Mesleğe Uygun Davranış'tır. Mesleki Şüphecilik, denetim planı hazırlarken denetçilerin uyması gereken bir ilke veya yaklaşımdır, ancak temel etik ilkeler arasında doğrudan sayılmaz.

Temel Kavramlar

• Yönetmelik, bilgi sistemleri denetiminde COBIT referansını kaldırarak, denetimin doğrudan Yönetmelik hükümleri kapsamında yapılacağını hüküm altına almıştır.
• Bilgi sistemleri bağımsız denetimi, bilgi sistemleri yönetimi kapsamında yer alan süreç, faaliyet, yazılım ve donanım gibi bilgi sistemi unsurları ve denetlenenin faaliyetlerine ilişkin süreçler ile bu sistem ve süreçler dâhilinde tesis edilen iç kontrollerin değerlendirilmesi sonucunda görüş oluşturulması ve rapora bağlanması aşamalarından oluşan bir süreç olarak tanımlanmıştır.
• Yönetmelik, bankalar, risk merkezi ve bilgi alışverişi kuruluşlarının bilgi sistemleri ve iş süreçlerinin denetime tabi olduğunu açıkça belirtmektedir. Diğer kuruluşlar ise sadece bilgi sistemlerinin denetime tabidir.
• Bankalar, risk merkezi ve bilgi alışverişi kuruluşlarında bilgi sistemleri ve iş süreçleri denetimi yapacak yetkili kuruluşlar için bankalarda bağımsız denetim yapma yetkisine sahip bağımsız denetim kuruluşu olma koşulu getirilmiştir. Diğer kuruluşların bilgi sistemleri denetimi yapacak yetkili kuruluş için sadece KGK yetkilendirilmesi yeterli görülmüştür.

Temel Kavramlar

• Özel Entegratör Kuruluşları: eBelge hizmetleri sunan, bilgi sistemleri denetimine ve sızma testlerine tabi olan, belirli ISO sertifikalarına sahip olması gereken kuruluşlar.
• SEDDK Yönetmeliği: Sigorta, reasürans ve emeklilik şirketlerinin iç kontrol, risk yönetimi, aktüerya ve iç denetim sistemlerini düzenleyen mevzuat.
• TCMB Tebliği: Ödeme ve elektronik para kuruluşlarının bilgi sistemleri yönetimi ve denetimi ile veri paylaşım servislerine ilişkin usul ve esasları düzenleyen mevzuat.
• Sayıştay Bilişim Sistemleri Denetim Rehberi: Kamu kurumlarında mali denetimi desteklemek, bilgi sistemlerinin kontrol zayıflıklarını tespit etmek amacıyla yayımlanan rehber.

Temel Kavramlar

• COSO Kurumsal Risk Yönetimi çerçevesinin 'Bilgi ve İletişim' bileşenine ilişkin ilkeler arasında 'Tüm risklerin finansal tablolar üzerinde detaylı olarak gösterilmesi' bulunmamaktadır. Bu bileşen, bilgi ve teknolojiden yararlanılması, riske ilişkin bilginin iletilmesi ve risk, kültür ve performansa ilişkin raporlama yapılması gibi prensipleri içerir. Finansal tablolar üzerinde risklerin detaylı gösterimi, daha çok muhasebe ve raporlama standartlarının konusu olabilir.
• COSO tarafından yayınlanan kurumsal risk yönetimi çerçevesi, iç kontrol çerçevesini genişleterek risk yönetimi ile birleştirmiştir. Bu durum, kurumsal risk yönetiminin işletmenin yönetim yapısını desteklemede iç kontrolden daha geniş bir role sahip olduğunu göstermektedir. Çerçeveler birbirlerinin yerine geçmez niteliktedir.
• ITIL (Bilgi Teknolojisi Altyapı Kütüphanesi) servis yönetim metodolojisi, bilgi teknolojileri servislerini eksiksiz ve en iyi kalitede yönetmek için geliştirilmiştir. Bu, ITIL'ın temel ve kapsayıcı hedefidir.
• ITIL v4 versiyonu, hizmet yönetimine yönelik daha bütünsel bir yaklaşımla ITIL'ı modern bilgi teknolojileri ortamı için daha geniş ve kapsayıcı hale getirmiştir. Bu nedenle 'daha dar ve kısıtlı hale getirmiştir' ifadesi yanlıştır.

Temel Kavramlar

• Denetçi Bağımsızlığı: Denetçinin, denetim görüşünü etkileyebilecek çıkar çatışmalarından veya yakın ilişkilerden uzak durarak tarafsız ve objektif bir tutum sergilemesi ilkesidir.
• Denetçi Rotasyonu: Kamu yararı bulunan şirketlerin denetiminde, belirli denetçi rollerinin (sorumlu, kalite gözden geçirme, kilit) azami görev süreleri ve sonrasında zorunlu ara verme sürelerini düzenleyen kuraldır. Sorumlu denetçi 7 yıl görev yapıp 5 yıl ara vermelidir.
• ISACA Etik Kuralları: Bilgi sistemleri denetçilerinin (CISA belgesine sahip) ve birlik üyelerinin mesleki davranışlarını ve etiğini yöneten, tarafsızlık, gizlilik, yetkinlik gibi yedi temel ilkeyi içeren kurallar setidir.
• Sızma Testleri Amacı: Kurumların bilgi sistemlerindeki olası güvenlik açıklarının herhangi bir sızma girişiminden daha önce tespit edilmesi ve düzeltilmesidir.