Bilgi Teknolojileri ve İş Süreçleri Denetimi

Transkript

Bilgi Teknolojileri ve
İş Süreçleri
Denetimi
Sinem Cantürk
Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı
KPMG
6 Haziran 2012
İçerik
1. İç Kontrol Ortamı
1.1 Genel Bakış
1.2 COSO İç Kontrol Modeli
1.3 Kurumsal Risk Yönetimi Yaklaşımı
1.4 Gelişmekte Olan Risk Profilleri
1.5 BT Yönetişim İhtiyacı
1.6 BT Yönetişim Çerçevesi
2. Temel BT ve Süreç Çerçevesi
2.1 Genel Bakış
2.2 BSSD Yaklaşımı
2.3 Genel BT Kontrolleri ve Önemi
2.4 Süreç Denetimi Yaklaşımı
3. Finansal Sektörde BSSD Uygulamaları
3.1 BDDK Yaklaşımı
3.2 Sektördeki Gelişmeler
İçerik
1. İç Kontrol Ortamı
1.1 Genel Bakış
1.2 COSO İç Kontrol Modeli
1.3 Kurumsal Risk Yönetimi Yaklaşımı
1.4 Gelişmekte Olan Risk Profilleri
1.5 BT Yönetişim İhtiyacı
1.6 BT Yönetişim Çerçevesi
İç Kontrol Ortamı
Genel Bakış
Ortaklar
Şirket
Yönetimi
Yatırımcılar
Ticari Kazanç
Verimli / Etkin Şirket
Bilgi Sistemleri
Yasal Yükümlülükleri Karşılayabilen, Risklere
Dayanıklı, Güçlü Sektör
Türkiye
Ekonomisi
© 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent
firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to
obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to
obligate or bind any member firm. All rights reserved.
Kamu
Otoriteleri
Müşteri
COSO İç Kontrol Modeli
COSO, İngilizce “Committee of Sponsoring Organizations of Treadway Commision” kelimelerinin
kısaltmasıdır. Treadway Komisyonunun en önemli hedefi; sahte mali raporların nedenlerini belirlemek ve
meydana gelme olasılığını azaltmaktır. Bu amaçla COSO iç kontrol modeli oluşturulmuştur.
COSO İç Kontrol Modelinin Unsurları:

Kontrol Ortamı (Control Environment)

Risk Değerlendirme (Risk Assessment)

Kontrol Faaliyetleri (Control Activities)

Bilgi ve İletişim (Information and Communication)

İzleme (Monitoring)
Uyum & Performans
Kurumsal yönetişim aşağıdaki 2 ana unsurdan oluşur:
 Uyum
• Yasal düzenlemelere, dahili kurallara ve
denetim gerekliliklerine uyum, vb.
 Performans
• Karlılığı artırma, etkinlik sağlama, etkili
süreçler oluşturma ve büyüme hedeflerine
ulaşma
Performans
Uyum
Etkili kurumsal ve BT yönetişim modelleri uyum ve performans konusunda
belirlenen hedeflere dengeli bir biçimde ve yönetimin desteğini alarak ulaşmayı
gerektirir.
Kurumsal Risk Yönetimi Yaklaşımı



Risk Yönetimi
Risk Değerlendirmesi için Çerçevenin Kurulması
Risk Tanımlarının Yapılması
Riskleri Sınıflandırılması, Analiz Edilmesi, Önceliklendirilmesi ve BT ve Süreç
Risklerinin Eşleştirilmesi
Risk
Yönetişimi
Denetim Girdileri
Süreç Girdileri
• Stratejik Analiz
• İş Süreçlerinin ve BT
Ortamının Anlaşılması
Risk ve
Kontrol
İyileştirme
Risk
İzleme ve
Raporlama
Kurumsal
Risk Yönetimi
Çerçevesi
Risk
Değerlendirme
Risk
Ölçme ve
Birleştirme
• İç Denetim Planı
• Uygulama
Süreçleri Denetimi
• BT Denetimi
Gelişmekte Olan Risk Profilleri
Finansal sektördeki kuruluşların son yıllarda giderek risk
odaklı yaklaşımlara yönelmeleri sonucu, süregelen
operasyonlarına dair risk algısı önemli ölçüde
değişmektedir.
Risk yönetimi çerçevesinde
risklerinden bahsedilebilir:
aşağıdaki
önemli
BT
• Kurumsal seviyedeki bilgi riskleri (iş sürekliliği, bilgi
güvenliği, vb.)
• Ana iş süreçlerinde hizmet sağlayan
(“outsourcing”, dış kaynak kullanımı)
tedarikçiler
• BT’nin sunduğu hizmete ilişkin hizmet kalitesi ve
performansı
• Sunulan hizmetlerde yasal gereksinimlere ve kuruluşun
dahili prosedürlerine uyum gerekliliği
• Müşterilere dönük sistemlerdeki ve süreçlerdeki finansal
etki ve itibar riski
Gelişmekte olan Risk Profilleri
Marka İtibarı
Yasal
Sorumluluk
Veri/BT
güvenliği
Usulsüzlük
Hizmet
Kalitesi
Performansı
ve Uyum
Veri Kalitesi
Sürdürülebilirllik
Finansal Etki
Fikri
Mülkiyetler
İş Devamlılığı
Sürdürülebilirlik
Genel Risk Alanları
Risk değerlendirme kriterlerinin belirlenmesinde aşağıdaki ana risk alanları göz önünde bulundurulabilir:
Risk Alanı
Tanım
Finansal Risk
Kuruluşun paydaşlarıyla ve müşterileriyle kurduğu ilişkiler, kurumun karlılığının finansal olarak olumsuz
etkilenmesi riski.
Operasyonel Risk
Organizasyonun iş süreçlerinin, sistemlerinin ve çalışanlarının dolayısıyla da ticari faaliyetlerinin olumsuz
etkilenmesi riski. (Hizmet kesilmesi, ticari itibarın zedelenmesi, vb)
Uyum Riski
Kanunlarla, düzenlemelerle, etik standartlarla ve mevzuatla uyumsuzluk ve ilgili uyum zorunluluklarının ihlal
edilmesi riski.
Düzenlemelere Uyum: Uyum zorunlulukları ve mevzuat zorunluluklarına uyum sağlayamama riski
Arşiv Yönetimi: Kontratlar ve mevzuatlarla muhafaza edilmesi, korunması ve imha edilmesi tanımlanmış
arşivlerin kurallara uygun olarak muhafaza edilememesi, korunamaması ve imha edilememesi riski.
Veri Korunması/Gizliliği: İdari kontrollerin yetersizliği nedeniyle, ticari sır olarak kabul edilen müşteri
bilgilerine yetkisiz erişimlerin gerçekleşebilmesi riski.
Kara Para Aklama/Müşterini Tanı/Terör Finansmanıyla Mücadele: AML/KYC/CTF ile ilgili yasal
düzenlemelere ve şirket politikalarına uyumsuzluk riski.
Yolsuzluk, Rüşvet ve Usulsüzlük: Rüşvet ve Usulsüzlük ile ilgili yasal düzenlemelere ve şirket politikalarına
uyumsuzluk riski)
İş Sürekliliği Riski
Faaliyetlerle ilgili iş süreç ve operasyonlarının zamanında başlayamaması riskini doğurabilir.
Teknoloji ve Bilgi
Güvenliği Riskleri
Organizasyonda bilgiye ve bilgi sistemlerine yetkisiz erişilmesi, kullanılması, ifşa edilmesi, bozulması,
değiştirilmesi, incelenmesi, denetlenmesi, kaydedilmesi veya yok edilmesi riskini doğurabilir.)
BT Yönetişim İhtiyacı
Güvenlik
BT ve İş
Hedeflerinin
Hizalanması
Değer/Masraf
BT
Operasyonları
Karmaşık Yapı
Uyum Gereklilikleri
Kuruluşlar bu ve benzer zorluklarla mücadele edebilmek için yapısal bir yaklaşıma ve bir
yönetişim modeline ihtiyaç duyarlar.
Bu model, BT için hemfikir olunan hedefler konulmasını, “en iyi uygulamalar”a (best
practices) göre kontrollerin belirlenmiş olmasını ve etkin izleme ve performans
değerlendirme faaliyetleriyle yönetimin gidişatının ve beklenmeyen sonuçların takip
edilebilmesini sağlar.
BT Yönetişim Çerçevesi
Bilgi sistemleri ve süreç denetimi kapsamında yapılan çalışmalar ve COSO yaklaşımı, organizasyonların
temel ihtiyaç ve beklentilerinin BT Yönetişimi Çerçevesi oluşturmak olduğunu ve BT Yönetişim
Çerçevesinin Kurumsal Yönetimin bir parçası olduğu gerçeğini ortaya koymaktadır.
Örnek bir BT yönetişim çerçevesinin,

Üst yönetim ve kurullarını

İş ve BT yönetimini

Yönetim, denetim, kontrol ve
güvenlik uzmanlarını
desteklemek üzere üç seviyede organize
edilmesi önerilmektedir
BT Yönetişimi İŞ ve BT faaliyetlerinin
uyumunu sağlamaktadır.
İçerik
2. Temel BT ve Süreç Çerçevesi
2.1 Genel Bakış
2.2 Bilgi Sistemleri ve İş Süreçleri Denetimi Yaklaşımı
2.3 Genel BT Kontrolleri ve Önemi
2.4 Süreç Denetimi Yaklaşımı
Temel BT ve Süreç Çerçevesi
Genel Bakış
Veritabanı
Veritabanı
Süreç 6
Süreç 5
Süreç 4
Süreç 3
Süreç 2
Süreç 1
Finansal Raporlama Süreci
Veritabanı
O/S (İşletim Sistemi)
O/S
Donanım
Donanım
Ağ Yönetimi
Süreç kontrolleri ve
süreçlerde kullanılan
uygulamalar üzerinde yer
alan uygulama kontrolleri
Bilgi teknolojileri
altyapısına ilişkin BT Genel
Kontrolleri
Süreç Denetiminin ve Uygulama Kontrollerinin Önemi
Uygulama kontrolleri, girdi, işleme (process) ve çıkış fonksiyonlarının üzerindeki tüm kontrollerdir.
Süreç denetimi, uygulama kontrollerinin doğru tasarlandığını ve tasarlanan kontrollerin etkin bir şekilde
çalıştığını kanıtlamayı amaçlamaktadır.
Uygulama Kontrollerinden Bazıları:

Giriş verilerinin tam doğru ve geçerli olmasını
sağlamak

İşlemlerin beklenen sonuçları üretmesini
sağlamak

İşlemlerin
istenilen
getirmesini sağlamak

Oluşan raporların yetkisiz kişiler tarafından
görülmesinin engellenmesini sağlamak
görevleri
yerine
BT Genel Kontrollerinin Önemi
Otomatik kontroller ve bilgi sistemlerine bağımlı manüel kontroller çalışıyor mu?
Tamamen bilgi sistemlerinin kontrolüne bırakılmış otomatik çözümler çalışıyor mu?
Bilgi sistemleri tarafından üretilen raporlar güvenilir mi?
Suiistimal riski görülen noktalarda suiistimal önleyici kontroller çalışıyor mu?
Finansal denetime kanıt oluşturan bilgi sistemleri çıktıları güvenilir mi?
Bilgi Sistemleri ve İş Süreçleri Denetimi Yaklaşımı
Bilgi sistemleri ve süreç denetimi kurumun faaliyetlerine ilişkin süreçler ile bu süreçler dahilinde tesis
edilen iç kontrollerin uyumluluk, etkinlik ve yeterliliği hakkında değerlendirilme yapılması şeklinde
özetlenebilir.
Denetim kapsamına alınacak süreç, sistem, faaliyet ve kontrol mekanizmalarını, risk odaklı bir bakıs
açısıyla ve önemlilik kriteri esas alınarak belirlenmektedir.
Süreçler üzerindeki kontrollerin etkinliği, ilgili BT Genel Kontrollerinin etkin ve yeterli olmasına
bağlıdır. Bu nedenle, süreçler üzerindeki kontrollerin uyumluluk, etkinlik ve yeterliliğine ilişkin
incelemelerde bulunulurken, gerekli görülen BT Genel Kontrollerinin etkinlik ve yeterlilik durumu
dikkate alınır.
Süreç denetimi kapsamında, süreçte yer
Bilgi sistemleri denetimi aşağıdakileri hedefler:
alan uygulamalar üzerinde temel olarak
 Bilgi sistemlerine CIA (Gizlilik, Bütünlük,
aşağıdaki kontroller test edilir:
Erişilebilirlik) kapsamında güvence sağlanması
 Veri oluşturma / yetkilendirme
 Bilgi sistemlerinin verimlilik ve etkinlik düzeyinin
kontrolleri
artırılması


Yürürlükte bulunan hukuki düzenlemelere uyum
Etkin bir bilgi sistemleri altyapısı olmadan
kurumsal yönetişim, uyum ve sigortacılık sektör
düzenlemelerinin mevcudiyeti zorluk teşkil
etmektedir.




Girdi kontrolleri
Veri işleme kontrolleri
Çıktı kontrolleri
Sınır kontrolleri
İçerik
3. Finansal Sektörde BSSD Uygulamaları
3.1 BDDK Yaklaşımı
3.2 Sektördeki Gelişmeler
Finansal Sektörde BSSD Uygulamaları
BDDK Yaklaşımı
Temel Prensipler:
 Üçlü saç ayağı
 İç Denetim
 Bağımsız Denetim
 Kamu Denetimi
 Finansal ve bilgi sistemleri denetçileri
arasında işbirliği
 Denetimde Bütünlük
• Denetim alanlarının bütünselliği (Finansal+BS Denetimi)
• Sorumlulukların Tespiti
 Risk odaklı denetim
 Oluşturulan Süreçler ve Politikaların Yeterliliği
 Süreç denetimi yaklaşımı
 Bilgi Sistemleri Denetimi
• Bankacılık süreçleri denetimi
• Genel kontrol alanlarının denetimi,
• Genel kontroller ile bankacılık süreçlerinin birlikte
gerçekleştirildiği geniş kapsamlı denetim
• Konsolide bilgi sistemleri denetimi
 Benimsenen Denetim Çerçevesi: CobiT
Finansal Sektörde BSSD Uygulamaları
Sektördeki Gelişmeler
 2006 yılından beri BDDK tarafından bankalarda ve finansal iştiraklerinde süreç denetimi ve bilgi sistemleri
denetimi gerçekleştirilmektedir. BDDK tarafından yayımlanan yönetmeliklerin finansal sektörde süreç ve bilgi
sistemleri denetimi ile BT yönetişimi kapsamında bilgi birikiminin ve deneyimin oluşmasında önemli rolü
olmuştur.
 Hazine Müsteşarlığı tarafından sigorta ve emeklilik şirketleri için Bilgi Sistemleri ve Sigortacılık ile Emeklilik
Süreçlerine İlişkin İlkeler Tebliği (Tebliğ) çalışmaları tamamlanmak üzeredir. Tebliğ’in yayımlanması ile birlikte
sigortacılık sektöründeki şirketler (sigorta, emeklilik ve reasürans) bağımsız denetim şirketleri tarafından
süreç ve bilgi sistemleri kapsamında denetime tabi olacaklar.
 Şu an için Finansal Kiralama (Leasing) sektöründe sadece Banka iştirakı olan şirketlerde süreç ve bilgi
sistemleri denetimi gerçekleştirilmektedir. Sektördeki diğer şirketler için zorunlu değildir.
İletişim
Sinem Cantürk
Bilgi Sistemleri Baş Denetçisi
Direktör
Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı
Tel:
+90 216 681 90 00
Fax: +90 216 681 90 90
Cep: +90 533 294 36 08
E-Mail: [email protected]
KPMG Türkiye
Rüzgarlı Bahçe Mah. Kavak Sok. No:29
34805 Beykoz İstanbul
Finansal Denetim ve Bilgi Sistemleri Denetimleri Arasındaki Koordinasyon
10.12.2011
20

Bilgi Teknolojileri ve İş Süreçleri Denetimi

Transkript

Benzer belgeler

Bülten - KPMG Vergi

Kablosuz enerji (2019)

Sermaye Şirketlerine ait İnternet Sitelerinin Mevzuatlara

Etik Kod

KPMG / PROFESYONELLER KULÜBÜ

Yönetişim Hizmetleri: GRC: Yüksek Performans ve Düşük

GSK Tüketici Sağlığı Türkiye Genel Müdürü Amit Shukla

Bankacılık Sektöründe Güncel Vergi Konuları seminer

pdf 684.6 KB