Bilgi Teknolojileri ve İş Süreçleri Denetimi
Transkript
Bilgi Teknolojileri ve İş Süreçleri Denetimi
Bilgi Teknolojileri ve İş Süreçleri Denetimi Sinem Cantürk Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı KPMG 6 Haziran 2012 İçerik 1. İç Kontrol Ortamı 1.1 Genel Bakış 1.2 COSO İç Kontrol Modeli 1.3 Kurumsal Risk Yönetimi Yaklaşımı 1.4 Gelişmekte Olan Risk Profilleri 1.5 BT Yönetişim İhtiyacı 1.6 BT Yönetişim Çerçevesi 2. Temel BT ve Süreç Çerçevesi 2.1 Genel Bakış 2.2 BSSD Yaklaşımı 2.3 Genel BT Kontrolleri ve Önemi 2.4 Süreç Denetimi Yaklaşımı 3. Finansal Sektörde BSSD Uygulamaları 3.1 BDDK Yaklaşımı 3.2 Sektördeki Gelişmeler İçerik 1. İç Kontrol Ortamı 1.1 Genel Bakış 1.2 COSO İç Kontrol Modeli 1.3 Kurumsal Risk Yönetimi Yaklaşımı 1.4 Gelişmekte Olan Risk Profilleri 1.5 BT Yönetişim İhtiyacı 1.6 BT Yönetişim Çerçevesi İç Kontrol Ortamı Genel Bakış Ortaklar Şirket Yönetimi Yatırımcılar Ticari Kazanç Verimli / Etkin Şirket Bilgi Sistemleri Yasal Yükümlülükleri Karşılayabilen, Risklere Dayanıklı, Güçlü Sektör Türkiye Ekonomisi © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Kamu Otoriteleri Müşteri İç Kontrol Ortamı COSO İç Kontrol Modeli COSO, İngilizce “Committee of Sponsoring Organizations of Treadway Commision” kelimelerinin kısaltmasıdır. Treadway Komisyonunun en önemli hedefi; sahte mali raporların nedenlerini belirlemek ve meydana gelme olasılığını azaltmaktır. Bu amaçla COSO iç kontrol modeli oluşturulmuştur. COSO İç Kontrol Modelinin Unsurları: © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Kontrol Ortamı (Control Environment) Risk Değerlendirme (Risk Assessment) Kontrol Faaliyetleri (Control Activities) Bilgi ve İletişim (Information and Communication) İzleme (Monitoring) İç Kontrol Ortamı Uyum & Performans Kurumsal yönetişim aşağıdaki 2 ana unsurdan oluşur: Uyum • Yasal düzenlemelere, dahili kurallara ve denetim gerekliliklerine uyum, vb. Performans • Karlılığı artırma, etkinlik sağlama, etkili süreçler oluşturma ve büyüme hedeflerine ulaşma Performans Uyum Etkili kurumsal ve BT yönetişim modelleri uyum ve performans konusunda belirlenen hedeflere dengeli bir biçimde ve yönetimin desteğini alarak ulaşmayı gerektirir. © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. İç Kontrol Ortamı Kurumsal Risk Yönetimi Yaklaşımı Risk Yönetimi Risk Değerlendirmesi için Çerçevenin Kurulması Risk Tanımlarının Yapılması Riskleri Sınıflandırılması, Analiz Edilmesi, Önceliklendirilmesi ve BT ve Süreç Risklerinin Eşleştirilmesi Risk Yönetişimi Denetim Girdileri Süreç Girdileri • Stratejik Analiz • İş Süreçlerinin ve BT Ortamının Anlaşılması Risk ve Kontrol İyileştirme Risk İzleme ve Raporlama © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Kurumsal Risk Yönetimi Çerçevesi Risk Değerlendirme Risk Ölçme ve Birleştirme • İç Denetim Planı • Uygulama Süreçleri Denetimi • BT Denetimi İç Kontrol Ortamı Gelişmekte Olan Risk Profilleri Finansal sektördeki kuruluşların son yıllarda giderek risk odaklı yaklaşımlara yönelmeleri sonucu, süregelen operasyonlarına dair risk algısı önemli ölçüde değişmektedir. Risk yönetimi çerçevesinde risklerinden bahsedilebilir: aşağıdaki önemli BT • Kurumsal seviyedeki bilgi riskleri (iş sürekliliği, bilgi güvenliği, vb.) • Ana iş süreçlerinde hizmet sağlayan (“outsourcing”, dış kaynak kullanımı) tedarikçiler • BT’nin sunduğu hizmete ilişkin hizmet kalitesi ve performansı • Sunulan hizmetlerde yasal gereksinimlere ve kuruluşun dahili prosedürlerine uyum gerekliliği • Müşterilere dönük sistemlerdeki ve süreçlerdeki finansal etki ve itibar riski © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Gelişmekte olan Risk Profilleri Marka İtibarı Yasal Sorumluluk Veri/BT güvenliği Usulsüzlük Hizmet Kalitesi Performansı ve Uyum Veri Kalitesi Sürdürülebilirllik Finansal Etki Fikri Mülkiyetler İş Devamlılığı Sürdürülebilirlik İç Kontrol Ortamı Genel Risk Alanları Risk değerlendirme kriterlerinin belirlenmesinde aşağıdaki ana risk alanları göz önünde bulundurulabilir: Risk Alanı Tanım Finansal Risk Kuruluşun paydaşlarıyla ve müşterileriyle kurduğu ilişkiler, kurumun karlılığının finansal olarak olumsuz etkilenmesi riski. Operasyonel Risk Organizasyonun iş süreçlerinin, sistemlerinin ve çalışanlarının dolayısıyla da ticari faaliyetlerinin olumsuz etkilenmesi riski. (Hizmet kesilmesi, ticari itibarın zedelenmesi, vb) Uyum Riski Kanunlarla, düzenlemelerle, etik standartlarla ve mevzuatla uyumsuzluk ve ilgili uyum zorunluluklarının ihlal edilmesi riski. Düzenlemelere Uyum: Uyum zorunlulukları ve mevzuat zorunluluklarına uyum sağlayamama riski Arşiv Yönetimi: Kontratlar ve mevzuatlarla muhafaza edilmesi, korunması ve imha edilmesi tanımlanmış arşivlerin kurallara uygun olarak muhafaza edilememesi, korunamaması ve imha edilememesi riski. Veri Korunması/Gizliliği: İdari kontrollerin yetersizliği nedeniyle, ticari sır olarak kabul edilen müşteri bilgilerine yetkisiz erişimlerin gerçekleşebilmesi riski. Kara Para Aklama/Müşterini Tanı/Terör Finansmanıyla Mücadele: AML/KYC/CTF ile ilgili yasal düzenlemelere ve şirket politikalarına uyumsuzluk riski. Yolsuzluk, Rüşvet ve Usulsüzlük: Rüşvet ve Usulsüzlük ile ilgili yasal düzenlemelere ve şirket politikalarına uyumsuzluk riski) İş Sürekliliği Riski Faaliyetlerle ilgili iş süreç ve operasyonlarının zamanında başlayamaması riskini doğurabilir. Teknoloji ve Bilgi Güvenliği Riskleri Organizasyonda bilgiye ve bilgi sistemlerine yetkisiz erişilmesi, kullanılması, ifşa edilmesi, bozulması, değiştirilmesi, incelenmesi, denetlenmesi, kaydedilmesi veya yok edilmesi riskini doğurabilir.) © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. İç Kontrol Ortamı BT Yönetişim İhtiyacı Güvenlik BT ve İş Hedeflerinin Hizalanması Değer/Masraf BT Operasyonları Karmaşık Yapı Uyum Gereklilikleri Kuruluşlar bu ve benzer zorluklarla mücadele edebilmek için yapısal bir yaklaşıma ve bir yönetişim modeline ihtiyaç duyarlar. Bu model, BT için hemfikir olunan hedefler konulmasını, “en iyi uygulamalar”a (best practices) göre kontrollerin belirlenmiş olmasını ve etkin izleme ve performans değerlendirme faaliyetleriyle yönetimin gidişatının ve beklenmeyen sonuçların takip edilebilmesini sağlar. © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. İç Kontrol Ortamı BT Yönetişim Çerçevesi Bilgi sistemleri ve süreç denetimi kapsamında yapılan çalışmalar ve COSO yaklaşımı, organizasyonların temel ihtiyaç ve beklentilerinin BT Yönetişimi Çerçevesi oluşturmak olduğunu ve BT Yönetişim Çerçevesinin Kurumsal Yönetimin bir parçası olduğu gerçeğini ortaya koymaktadır. Örnek bir BT yönetişim çerçevesinin, Üst yönetim ve kurullarını İş ve BT yönetimini Yönetim, denetim, kontrol ve güvenlik uzmanlarını desteklemek üzere üç seviyede organize edilmesi önerilmektedir BT Yönetişimi İŞ ve BT faaliyetlerinin uyumunu sağlamaktadır. © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. İçerik 2. Temel BT ve Süreç Çerçevesi 2.1 Genel Bakış 2.2 Bilgi Sistemleri ve İş Süreçleri Denetimi Yaklaşımı 2.3 Genel BT Kontrolleri ve Önemi 2.4 Süreç Denetimi Yaklaşımı Temel BT ve Süreç Çerçevesi Genel Bakış Veritabanı Veritabanı Süreç 6 Süreç 5 Süreç 4 Süreç 3 Süreç 2 Süreç 1 Finansal Raporlama Süreci Veritabanı O/S (İşletim Sistemi) O/S Donanım Donanım Ağ Yönetimi © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Süreç kontrolleri ve süreçlerde kullanılan uygulamalar üzerinde yer alan uygulama kontrolleri Bilgi teknolojileri altyapısına ilişkin BT Genel Kontrolleri Temel BT ve Süreç Çerçevesi Süreç Denetiminin ve Uygulama Kontrollerinin Önemi Uygulama kontrolleri, girdi, işleme (process) ve çıkış fonksiyonlarının üzerindeki tüm kontrollerdir. Süreç denetimi, uygulama kontrollerinin doğru tasarlandığını ve tasarlanan kontrollerin etkin bir şekilde çalıştığını kanıtlamayı amaçlamaktadır. Uygulama Kontrollerinden Bazıları: Giriş verilerinin tam doğru ve geçerli olmasını sağlamak İşlemlerin beklenen sonuçları üretmesini sağlamak İşlemlerin istenilen getirmesini sağlamak Oluşan raporların yetkisiz kişiler tarafından görülmesinin engellenmesini sağlamak görevleri © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. yerine Temel BT ve Süreç Çerçevesi BT Genel Kontrollerinin Önemi Otomatik kontroller ve bilgi sistemlerine bağımlı manüel kontroller çalışıyor mu? Tamamen bilgi sistemlerinin kontrolüne bırakılmış otomatik çözümler çalışıyor mu? Bilgi sistemleri tarafından üretilen raporlar güvenilir mi? Suiistimal riski görülen noktalarda suiistimal önleyici kontroller çalışıyor mu? Finansal denetime kanıt oluşturan bilgi sistemleri çıktıları güvenilir mi? © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Temel BT ve Süreç Çerçevesi Bilgi Sistemleri ve İş Süreçleri Denetimi Yaklaşımı Bilgi sistemleri ve süreç denetimi kurumun faaliyetlerine ilişkin süreçler ile bu süreçler dahilinde tesis edilen iç kontrollerin uyumluluk, etkinlik ve yeterliliği hakkında değerlendirilme yapılması şeklinde özetlenebilir. Denetim kapsamına alınacak süreç, sistem, faaliyet ve kontrol mekanizmalarını, risk odaklı bir bakıs açısıyla ve önemlilik kriteri esas alınarak belirlenmektedir. Süreçler üzerindeki kontrollerin etkinliği, ilgili BT Genel Kontrollerinin etkin ve yeterli olmasına bağlıdır. Bu nedenle, süreçler üzerindeki kontrollerin uyumluluk, etkinlik ve yeterliliğine ilişkin incelemelerde bulunulurken, gerekli görülen BT Genel Kontrollerinin etkinlik ve yeterlilik durumu dikkate alınır. Süreç denetimi kapsamında, süreçte yer Bilgi sistemleri denetimi aşağıdakileri hedefler: alan uygulamalar üzerinde temel olarak Bilgi sistemlerine CIA (Gizlilik, Bütünlük, aşağıdaki kontroller test edilir: Erişilebilirlik) kapsamında güvence sağlanması Veri oluşturma / yetkilendirme Bilgi sistemlerinin verimlilik ve etkinlik düzeyinin kontrolleri artırılması Yürürlükte bulunan hukuki düzenlemelere uyum Etkin bir bilgi sistemleri altyapısı olmadan kurumsal yönetişim, uyum ve sigortacılık sektör düzenlemelerinin mevcudiyeti zorluk teşkil etmektedir. © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Girdi kontrolleri Veri işleme kontrolleri Çıktı kontrolleri Sınır kontrolleri İçerik 3. Finansal Sektörde BSSD Uygulamaları 3.1 BDDK Yaklaşımı 3.2 Sektördeki Gelişmeler Finansal Sektörde BSSD Uygulamaları BDDK Yaklaşımı Temel Prensipler: Üçlü saç ayağı İç Denetim Bağımsız Denetim Kamu Denetimi Finansal ve bilgi sistemleri denetçileri arasında işbirliği Denetimde Bütünlük • Denetim alanlarının bütünselliği (Finansal+BS Denetimi) • Sorumlulukların Tespiti Risk odaklı denetim Oluşturulan Süreçler ve Politikaların Yeterliliği Süreç denetimi yaklaşımı Bilgi Sistemleri Denetimi • Bankacılık süreçleri denetimi • Genel kontrol alanlarının denetimi, • Genel kontroller ile bankacılık süreçlerinin birlikte gerçekleştirildiği geniş kapsamlı denetim • Konsolide bilgi sistemleri denetimi Benimsenen Denetim Çerçevesi: CobiT © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. Finansal Sektörde BSSD Uygulamaları Sektördeki Gelişmeler 2006 yılından beri BDDK tarafından bankalarda ve finansal iştiraklerinde süreç denetimi ve bilgi sistemleri denetimi gerçekleştirilmektedir. BDDK tarafından yayımlanan yönetmeliklerin finansal sektörde süreç ve bilgi sistemleri denetimi ile BT yönetişimi kapsamında bilgi birikiminin ve deneyimin oluşmasında önemli rolü olmuştur. Hazine Müsteşarlığı tarafından sigorta ve emeklilik şirketleri için Bilgi Sistemleri ve Sigortacılık ile Emeklilik Süreçlerine İlişkin İlkeler Tebliği (Tebliğ) çalışmaları tamamlanmak üzeredir. Tebliğ’in yayımlanması ile birlikte sigortacılık sektöründeki şirketler (sigorta, emeklilik ve reasürans) bağımsız denetim şirketleri tarafından süreç ve bilgi sistemleri kapsamında denetime tabi olacaklar. Şu an için Finansal Kiralama (Leasing) sektöründe sadece Banka iştirakı olan şirketlerde süreç ve bilgi sistemleri denetimi gerçekleştirilmektedir. Sektördeki diğer şirketler için zorunlu değildir. © 2012 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved. İletişim Sinem Cantürk Bilgi Sistemleri Baş Denetçisi Direktör Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı Tel: +90 216 681 90 00 Fax: +90 216 681 90 90 Cep: +90 533 294 36 08 E-Mail: [email protected] KPMG Türkiye Rüzgarlı Bahçe Mah. Kavak Sok. No:29 34805 Beykoz İstanbul Finansal Denetim ve Bilgi Sistemleri Denetimleri Arasındaki Koordinasyon 10.12.2011 20