Yeni İş Modellerinde İŞ-BTSüreç Uyumluluğu için Araçlar ve

Transkript

Yeni İş Modellerinde İŞ-BTSüreç Uyumluluğu
için Araçlar ve Teknikler
Cem Coban, Enterprise Architect
Oturumuzun ana başlıkları:
Giriş
İş süreç uyumluluğunun
sağlanmasında karşılaşılan Teknik
ve Organizasyonel sorunlar
nelerdir?
BT denetiminde kullanılan
metodoloji örnekleri nelerdir?
Etkin denetim modelini ve kontrol
hedeflerini nasıl konumlandırırız?
İş süreç modelleri ile uyumluluk
gereksinimleri arasında nasıl bir
köprü kurarız?
Geleceğin BT si olan Bulut iş
modellerinde denetim yaklaşımı
nasıl olmalıdır?
Giriş
• Günümüzde İç Denetim ve Kontrol;
kuruluşlarda alınan ve verilen hizmetlerin
denetlenmesi anlamında hemen her sektörde
ihtiyaç haline gelen bir yönetim sistemidir.
• Teknoloji ve iş modelleri değiştikçe müşteri
ihtiyaç ve isteklerinin karşılanması yolu ile
müşteri tatmininin sağlanması yanında
denetimde de çeviklik ihtiyacını doğurmaktadır.
Denetim Kavramı
Denetim kavramının, Batı dillerindeki karşılığı
(audit) kökenini oluşturan Latince audire kelimesi;
işitmek, dikkatlice dinlemek anlamına gelmektedir.
Denetim kavramı ile ilgili olarak, sosyal bilimlerin
birçok dalında farklı tanımlamalar yapılmaktadır.
Denetimin Türkçe’de yaygın olarak kullanılan
anlamı, Türk Dil Kurumunun yaptığı tanımda
karşılığını bulmaktadır.
Denetim İle İlgili Uluslar Arası Kuruluşlar
• IIA (İç Denetçiler Enstitüsü)
•
INTOSAI (Uluslararası Yüksek Denetleme Kuruluşları
Örgütü)
•
COSO (Committee of Sponsoring Organizations of the
Treadway Commission)
•
Bilgi Sistemleri Denetimi ve Kontrolü Derneği (ISACA:
Information Systems Audit and Control Association)
COBIT ve Denetimi Kontrol ve Uygulama Yöntemleri
Denetim modelleri
Sarban
esOxley
COSO
ABD güvenlik
ve müdahale
komisyonu
COBIT
ISO 20000
ASL
Kalite Sistemi
BS 15000
BT Planlama
ITIL
Proje Yönetimi
IT Security
Uyg. Geliş.
(SDLC)
CMMI
Hizmet
Yönetimi
Kalite
sistemleri &
Yönetim
sistemleri
BT operasyonları
ISO
1779
9
PMI
TSO
IS
Strategy
ISO
6
Sigma
Mevcut Çerçevelerin (Framework) Kullanım İstatistikleri
Çerçeveler
(Framework)
COBIT
Hiç
Kullanılmıyor
8%
Mevcut
Standartları
Etkiler
Kısmen Takip
Ediliyor
32%
44%
CMM
Tamamen Takip
ediliyor
ITIL
COBIT
ISO 27001
16%
NIST
TickIT
ITIL
14%
30%
46%
10%
ISO 27001
36%
24%
32%
8%
CMM
52%
32%
14%
2%
PMBOK
COSO
PRINCE2
N a rro w
B ro a d
COBIT 5: Geçmişi
Kapsamın Evrimi
Governance of Enterprise IT
IT Governance
Val IT 2.0
Management
(2008)
Control
Risk IT
(2009)
Audit
COBIT1
1996
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1 COBIT 5
2005/7
2012
ISACA (www.isaca.org/cobit ) tarafından sunulan iş yapısı (framework)
© 2012 ISACA® All rights reserved.
8
COBIT 5: Süreçler(cont.)
Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
9
İş süreç uyumluluğunun sağlanmasında karşılaşılan
Teknik ve Organizasyonel sorunlar nelerdir?
Organizasyonel Sorunlar
1. Finansal Hizmetler iç denetim
ekiplerinin karşılaştığı uyumluluk
sorunları
2. Kalabalık ve yüklü denetim ve
risk ajandaları
3. İç Denetim Statüsünün Yükselişi
4. Artan Teknoloji Riskleri
5. Üçlü Savunma Hattı
6. İç Denetim için faydalanılacak
kaynaklar
www.theiia.org/goto/CBOK
Ana sorunlar
Zor zamanlardan geçiyoruz
Şirketlerin iş yükleri değişiyor ve genişliyor
Şirketlerde rollerdeki artış beklentileri de arttırıyor
Teknoloji hızla değişiyor
Yeni savunma modelleri?
İç Denetim için Kaynak Yetkinlikleri
Uyumluluk Sorunları
• CEA (Chief Audit Executive)’ler
için uyum/regülasyon ve
operasyonel riskler 2015 yılının
en önemli ve denetim planının
en üstünde yer alan konulardır
• Regülasyonlar için yeni
kurumlar devreye giriyor
• Yürürlüğe giren
kanun/regülasyon/mevzuat
sayısı hiç daha önce olmadığı
kadar sık yenilenmekte
Uyumluluk Sorunları
Rekor cezalar
İç denetimin uyumluluk konusuna daha fazla zaman
ayırması
“Bankalar düzenli
incelemeler nedeniyle iç
denetimlere olan
bağımlılıklarını arttırmakta,
düzenleyici uyum
taleplerine odaklanan
konsantre özel denetim
ekipleri ile yol almaktadır” –
Jenitha John, CAE, FirstRand, South
Africa
“Wall Street bankaları ve
yabancı rakipleri mali krizden
bu yana ABD’nin yasal
yaptırımları için 100 Milyar
USD üzerinde cezalar
ödediler…” –FinancialTimes.com,
3/25/14
Kalabalık ve yüklü denetim ve risk ajandaları
• Ajanda içerikleri gittikçe
artıyor
• Paydaş ve yatırımcı
beklentileri artıyor
• Regülasyon ile ilgili
beklentiler hiç azalmayacak
• Şirket kurulları iç denetim
ve risk birimlerine
süregelen davalarda
gelebilecek cezalara ve
regülatif yaptırımlara karşı
daha çok güven besliyor
İç Denetim Statüsünün Yükselişi
İyi haber: İç denetim giderek yönetim seviyesinde boy
gösteren ve takdir kazanan bir rol olarak yükselen
değer taşımaktadır
Denetim bulguları ile ilgili öneriler yönetimce oldukça önemli
olarak değerlendirilmekte ve takip edilmektedir
Yönetim kurulu üyeleri ve yöneticiler ile daha yakın çalışma
Kurumun stratejik girişimleri ile ilgili hedeflerine ilk elden erişim
Kötü Haber: İç Denetim’in önemi artarken sizden
beklentilerin değişimine dikkat!
Dış denetçilerin, regülasyon kurumlarının, yönnetici ve
diraktörlerin denetimden beklentileri gittikçe artmaktadır
Paydaşlar yanlış beklentilere neden olacak ihtimaller üzerinde
durabilmektedir
Yalnızca IIA standardlarına uyumlu olmak artık yeterli değildir
Dış denetim ve regülasyon kurumlarına daha çok danışmanlık
hizmetleri sağlanmaktadır
Regülasyon beklentilerinin iç denetim için sorun yönetimine
dönüşmemesine dikkat edilmelidir
Finansal
hizmetlerde
çalışan iş
denetim
ekiplerinin %69’u
denetim
konitesine
raporlamaktadır;
tüm sektörlerde
ise bu oran
%54’dür
Artan Teknoloji Riskleri
Teknoloji kabiliyetleri organizasyonların bunları değerlendirmesi,
denetlemesi, s,ndirmesi ve kontrol etmesinden daha hızlı büyümekte ve
gelişmekte (Bulut, Mobil teknolojileri)
Günümüzün Banka Hırsızları silahlı soygunlar yerine teknolojiyi kullanıyorlar
Finans sektöründe çalışan iş denetim uzmanlarının iş yükleri BT denetimi
için yönetilen denetim aktivitesinden fazladır
Kamuoyuna yansıtılan veri ihlalleri genellikle ne zaman ihlale uğradığınıza bağlı
olarak itibar kabı yaşamanıza neden olmakta
Finans sektöründe veri ihlali olama olasılığı diğer sektörlere göre oldukça
fazladır (%43’e karşı %34).
Big data’nın (güvenlik logları ...) saklanması, işlenmesi ve anlamlandırılması
gerekiyor
Bağlı olmak – artık yalnızca bilgisayarınızın şifresi ile erişilebilir olmak
değildir
Değişmekte olan teknoloji için yeterli yetkinlikte denetim uzmanlarının
bulunması ayrıca bir zorluk olmaktadır
Üçlü Savunma Hattı
• Dünyada finans sektörünün
%78 oranında takip ettiği
model.
• Tüm hatlar mevcut olmalı—
birbirinden ayrı ve net olarak
tanımlı ise oldukça güçlü bir
yapı sağlar
• Harmanlanmış yapılarda
şunlara dikkat edin:
• Denetim Komitesine
doğrudan raporlamalıdır.
• Birleşen savunma
hatlarının potansiyel
riskleri raporlanarak
duyurulmalıdır.
• İç güvence birimlerinin
her birinin doğrudan
raporlayacağı tek bir
yönetici olmasını
sağlayın.
İç Denetim Kaynaklarının Sorunları
İç denetimde bugün bilgi alanları oldukça genişlemiştir: teknoloji, iş
operasyonu, finansal hizmetler, iletişim, düzenleyici uyumluluk, siber
güvenlik, gizlilik, tedarikçi yönetimi, iş sürekliliği, yasal konular,
kantitatif analizler…
Pazarda denetim konusundaki istihdam oldukça yüksek oranlardadır
Manuel ve Otomatik denetim çözümlerinin yeterince süreç bilgisine
sahip olmayan denetçilerce değerlendirilememesi
Stratejik seviyeden bulgu seviyesine bir izlenebilirlik takibi olmaması
İç Denetim Kaynak Yetkinlikleri
“Finansal denetim
fonksiyonlarının ışığında
bunların odaklarının
finansal risklerden daha
çok operasyonel risklere
doğru yönelmesi ve işe
alınan denetim
uzmanlarının da
yetkinliklerinin bu yönde
gelişmesi isteniyor”
–Mark Howard, SVP and CAE,
USAA, San Antonio, TX
BT denetiminde kullanılan metodoloji
örnekleri nelerdir?
Araç ve Teknikler
COBIT 5 Araçları
VSM ile İş Süreç Kontrolleri
ITIL V3:2011 Değerlendirme
Uygulama Portföy Değerlendirmesi
Data Analytics: ATA
COBIT 5
Özet
Microsoft Confidential
Özet – Detay
Business Value / Maturity Assessment legend
Maturity
2
Low
3
Medium
4
Moderate
5
High
Process, organization, metrics,
technology doesn’t exist
1
Critical
Manual Process, siloed organization
exists but metrics, technology doesn’t
exist
Manual Process, siloed organization
exists and metrics exist but technology
is dispersed (no standardization)
Semi automated Process, organization,
KPI metrics, technology exist but some
are not integrated
2
High
Business Value
1
Critical
3
Medium
4
Low
Fully automated Process, organization,
KPI metrics, technology exist and all
integrated
5
No
26
There is no business value in terms of
financial and architectural impact on
sales, manufacturing and people’s
efficiency and there important is loss
There is no business value in terms of
financial impact on sales,
manufacturing and people’s efficiency
there is loss of productivity
There is no loss on sales, manufacturing
and people’s efficiency but there is still
no business value generated
Partial business value generated which
has only minor impact on sales,
marketing and people’s efficiency
Huge tangible and intangible business
value on sales, product and people’s
efficiency
Unspecified
Not Evaluated
COBIT 5 Heatmap - Governance Processes
Optimize the value contribution to the business from the business processes, IT services
and IT assets resulting from investments made by IT at acceptable costs.
•
Continually evaluate the portfolio of IT enabled investments, services and assets to
determine the likelihood of achieving enterprise objectives and delivering value at
reasonable cost. Optimize value creation by measuring the tangible/intangible
benefit of the investments.
•
Do financial value management through full lifecycle of the investment
•
Link business KPIs with the IT KPIs to report the value provided with the IT
investments
•
Add financial visibility to the current MS Project and Portfolio system and link the
portfolio with business KPIs
Ensure that the resource needs of the enterprise are met in the optimal manner, IT costs
are optimized, and there is an increased likelihood of benefit realization and readiness
for future change.
•
Define key goals, measures and metrics for resource management.
•
Establish principles related to safeguarding resources.
•
Align resource management with enterprise financial and HR planning.
•
Communicate and drive the adoption of the resource management strategies,
principles, and agreed-on resource plan and enterprise architecture strategies.
Monitor the key goals and metrics of the resource management processes and
establish how deviations or problems will be identified, tracked and reported for
remediation.
•
Monitor the allocation and optimization of resources in accordance with enterprise
objectives and priorities using agreed-on goals and metrics
•
Monitor IT sourcing strategies, enterprise architecture strategies, IT resources and
capabilities to ensure that current and future needs of the enterprise can be met
•
Monitor resource performance against targets, analyze the causes of deviations,
and initiate remedial action to address the underlying causes
COBIT 5 Heatmap – Management Processes
Potential Business Value Generating Capabilities
•
•
•
•
IT-related risk is identified, analysed, managed and reported
A current and complete risk profile exists.
All significant risk management actions are managed and under control.
Risk management actions are implemented effectively.
• Stakeholders are satisfied with the quality of solutions and services.
• Project and Service Delivery result are predictable
• Quality requirements are implemented in all processes.
•
•
•
•
A transparent and complete budget for IT accurately reflects planned expenditures.
The allocation of IT resources for IT initiatives is prioritised based on enterprise needs.
Costs for services are allocated in an equitable way.
Budgets can be accurately compared to actual costs.
Most Immature Capabilities
• Relevant stakeholders are engaged in the projects
• The scope and outcomes of projects are viable and
aligned with objectives
• Project plans are likely to achieve the expected
outcomes
• Project activities are executed according to the plans
• There are insufficient Project resources to perform
activities according to the plan
• The Project expected Benefits are usually achieved and
accepted
• Toll implementation is underway for increasing the
maturity of the process
• Sources of information are partially identified and
classified.
• Knowledge is used and partially shared.
• Knowledge sharing is not embedded in the culture of
the enterprise yet.
• Knowledge is rarely updated and sometimes improved
to support requirements.
• The architecture and standards are not effective in
supporting the enterprise.
• A portfolio of enterprise architecture services doesn’t
support agile enterprise change.
• Apprppriate and up-to-date domain and/or federated
architectures partially exist at the Business process
domain that provide reliable architecture information.
• A common enterprise architecture framework and
methodology as well as an integrated architecture
repository are not used to enable re-use efficiencies
across the enterprise.
Value Stream Mapping
VSM Tekniği ile Süreçlere Denetim Kontrol Noktaları
Kontrol hedeflerinin süreç mevcut durumunda
incelenmesi
ITIL V3:2011
ITIL V3:2011 Assessment: Samples
Application Portfolio
Application Portfolio Assessment: Samples
Project Prioritization Tool
Strategic Fit
Weighting Scale
Alignment w/
Market
Company
Positioning
Goals
Economic Impact
Feasibility
Revenue
Potential
Profitability
& Margin
Growth
Potential
Technical
Risk
15%
10%
10%
15%
15%
10%
5%
5%
Project
Project Score
Strategic Fit
Economic Impact
Feasibility
Project 1
2
3
4
6
6
9
7
8
7
Project 10
8.0
3.4
3.2
1.4
Project 2
3
6
8
6
7
7
3
8
6
Project 1
5.5
1.2
2.9
1.5
Ranking Criteria & Definitions:
Project 3
8
6
6
6
7
7
6
5
7
Project 2
5.9
2.2
2.7
1.0
Alignment with Company Goals - how aligned is this project to corporate goals & objectives?
Project 4
9
8
6
5
6
4
2
3
4
Project 3
6.6
2.7
2.7
1.2
Project 5
5
4
6
6
5
4
10
8
3
Project 4
5.7
3.2
2.0
0.6
Project 6
1
2
2
3
2
5
2
3
1
Project 5
5.5
2.0
2.0
1.6
Project 7
1
2
2
3
1
4
3
5
4
Project 9
5.0
1.6
2.2
1.3
Project 8
6
7
4
4
1
2
1
2
3
Project 8
3.6
2.4
0.9
0.4
4
5
2
7
4
6
7
6
5
Project 7
Project 9
2.5
0.7
1.1
0.8
Project 6
2.4
0.7
1.4
0.4
Project 10
9
8
8
8
9
7
6
7
9
Economic Impact
Projects & Intiatives
Feasibility
Market
Positioning
Core
Capabilities
Revenue
Potential
Profitability &
Margin
Growth
Potential
Technical Risk
Resources Financial
Resources People
15%
15%
10%
10%
15%
15%
10%
5%
5%
Total
Weighting
Resources - Resources Financial
People
Note: Sort by selecting all cells then click "Data"in the navigation menu and "Sort". You can sort by Project Score (Largest to Smallest).
Core
Capabilities
15%
Strategic Fit
Alignment w/
Company
Goals
100%
Market Positioning - how well does this initiative position us ahead of our competition?
Core Capabilities - does this initiative leverage our internal core capabilites (technology, operations, sales & distribution?
Revenue Potential - what is the anticipated revenue for this product?
Profitability & Margin - how solid are the anticipated margins for this product?
Growth Potential - what is the anticipated market growth rate?
Project 1
Project 10
Execute
Project 9
Feasibility
Project 3
Execute
Execute
Bubble Size = Economic Impact
Execute
Project 2
Execute
Product Management
Product Management
Product Management
Product Management
Product Management
Product Management
Product Management
Pricing
Pricing
Top Investment Priority
Pricing
Pricing
Pricing
Pricing
Project 6
Project 8
Low
Potential Cuts
Low
Back Burners
Strategic Fit
High
Related IAA Activities
BAB3601 Define Product Pricing Rules
Price product using previous history
Use predictive modeling to determine pricing
Rapidly price product
Price product bundles
Price fee-for-service products
Incorporate internal and external((Customer Analytical data, sales channel,campaign,
) data into pricing
Control
Product Management
High Investment Priority
Product Portfolio Management
Product portfolio tracking
Control
Product Management
Control
Product Management
Control
Product Management
Control
Product Management
Control
Product Management
Control
Product Management
Control
Product Management
Control
Product Management
Control
Risk Management
Underwriting Management
Project 7
Project 4
MS Project Server
IAA CBM Component
Pricing
System 6
Detail CBM Component
Spectra
Execute
Aksigorta WEB
Priority
Execute
Aktif07
Direct/Contro
l/Execute
Component
Proaktif
Top Priorities
Project 5
SAT Agency
Future Potentials
High
SAT Bancassurace
Resources - People - do we have the skills & bandwidth to execute this initiative?
Akçöüzm
Resources - Financial - do we have the financial resources to execute this initiative?
Aktif 07 BankAssurance
Technical Risk - what is the probability of overcoming the technical challenges of the project?
Business Activity BAB0686 Analyse Product And Product Bundle Profitability
Business Activity BAB0970 Analyse Product Development Process Performance
Business Activity BAB0690 Analyse Product Performance
Business Activity BAB0692 Analyse Product Volume Sales by Channel
Business Activity BAB1107 Evaluate Internal Product Capability
Business Activity BAB0930 Forecast Product Benefit
Business Activity BAB0859 Forecast Product Cost
Business Process BPB0724 Analyse Statistics For Product Development
Business Process BPB0713 Monitor Product Performance
Underwriting Management
Business Activity BAB0634 Allocate Application To Underwriter
Etkin denetim modelini ve kontrol hedeflerini
nasıl konumlandırırız?
Etkin denetim modeli için 12 öneri
Sahteciliğe
karşı tetikte
olun
Denetim
planları ve
risk analizi
için daha
stratejik
düşünün
Uyumluluk
yönetimini
iyileştirmek
ve
hızlandırmak
için
danışmanlık
alın
Operasyon,
uyum ve
finansal
olmayan
raporlama
sorunlarına
odağı
genişletin
Otomatikleşti
rilmiş
kontrollerin
kullanımı ile
kontrol
yapınızı
iyileştirin
Teknoloji
Destekli
Denetim
Yapın
Ortaya
çıkan riskler
için daha
erken uyarı
Etkin bir
denetim
modeli için
Risk ve
uyumluluğu
yönetmekte
olan diğer
bağımsız
birimlerle
daha etkin
işbirliği
Yönetim
kurulu ve
yönetim ile
etkili iletişim
yoluyla
güvenceyi
arttırın
Risk
yönetimini
çalışır kılacak
savunma
hatlarını
güçlendirin
Risk
kültüründeki
zafiyetleri
gösteren
işaretleri
izleyin
Organizasyo
nun karar
verme hızını
arttıracak
bilgileri
iyileştirin
Denetim Metodolojisinin Rafine Edilmesi
•
•
•
•
•
•
•
Denetim Kılavuzları
BT Denetim Kılavuzları
Denetim Metodolojisi
Genel Denetim Prosedürü
Internal Audit Protocol
Denetim Proje Planı
Denetim İş akışı eğitimi
Denetim Teknoloji Sistemleri - Kullanımı
Bir Veri Analiz Programı Geliştirin
(Data Analytics)
İleri düzeyde denetim uygulayan şirketler kritik risk alanları ihtiva eden
alanlar için veri analizi yatırımları yapmakta ve burada toplanan verilerin iş
süreçleri ile uyumlandırarak anlamlı bulgular elde etmektedirler. Bu analiz
çıktıları:
• Denetim esnasında ortaya çıkan taktik sorunların anlaşılmasını
• Uygulamaların ürettiği bilgilerin değerlendirilerek denetim çıktılarına
katkıda bulunmasını
• Denetim ekibinin iş kolu ve üst yönetime ilgili bulguların iletişimini
sağlarken
• Veri analizi çıktılarının ilgili iş kollarınca onaylanmasının sağlanması ve
yeni denetim ekibi çalışanlarının eğitimi için kullanılır
Sürekli İzleme Programları Geliştirme
1. Çalışma Grubu
Oluşturulması
2. Yönetim Desteğinin
alınması
3. Risk Değerlendirmesi
4. Uygun alanların
otomasyona tabi
tutulması
5. Değerlendirme
yaklaşımının belirlenmesi
6. Bulgu için eşik
seviyelerinin belirlenmesi
10. Verilerin analiz
edilmesi
9. Pilot programın
implemente edilmesi
8. Standart raporların
geliştirilmesi
7. Acil durum için
Standart prosedürlerin
belirlenmesi
İş süreç modelleri ile uyumluluk gereksinimleri
arasında nasıl bir köprü kurarız?
İç Denetim Sürecinde Teknoloji
Kullanımı
Süreç ve Kontrol Yönetimi Arasındaki bağlantı
Teknolojik Sorunlar
• Denetime tabi olan iş ve BT süreçlerinin henüz tasarım/revizyon esnasında
belirlenmesi ve izlebilir olması için kontrol noktaları belirlenmesi
• Risk kriterlerinin kontrol noktalarından toplanan bilgilerle otomatik veya manuel
değerlendirilmesi
• Tasarımın kontrol yönetimince değiştirilebilmesi
• Mevzuat/regülasyon/uyumluluk değişikliklerine yüksek adaptasyon
• Dış Denetçi için şeffaf veri ve raporlama kolaylığı
• İç denetim kapsamına hakim ve her zaman ulaşılabilir olması
İç Denetim Modelinin Otolojik Gösterimi
• Süreçler ve aktiviler arasındaki bağın ve izlenebilir iç kontrollerin bağlanması
• Risk ve buna bağlı bulguların kontrol hedefleri ile kontrol edilerek veri analizine hazır
bulgu oluşturulması
• Bulguların aktiviler ile çözümlenmesi (otomatik/manuel)
Senaryo: Tedarik-Satın Alma
•
•
•
•
Süreçlerde yer alan kontrol noktalarını nasıl takip ediyoruz?
Süreç içinde yer alan roller arasında uyum ve regülasyonu ilgilendiren neler var?
Hangi verilerin analizi bize denetim bulgusu kazandırır?
Süreçte ceza olarak geri dönecek adımları izliyor muyum?
Süreç Modelinin Zenginleştirilmesi
Denetim Metodolojisinin Özeti
Geleceğin BT si olan Bulut iş modellerinde
denetim yaklaşımı nasıl olmalıdır?
Questions?
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation.
Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and
Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE
INFORMATION IN THIS PRESENTATION.
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks
and/or trademarks in the U.S. and/or other countries.
COSO Modeli; kontrol ortamı, risk değerlendirme, kontrol
faaliyetleri, bilgi ve iletişim ile izleme olmak üzere beş
unsurdan oluşmaktadır:
Kontrol Ortamı
Risk değerlendirme
Kontrol Faaliyetleri
Bilgi ve İletişim
İzleme
1.2 İç Denetim Türleri
Mali denetim
Uygunluk denetimi
Performans denetimi
Bilgi sistemleri denetimi
1.3 Bilgi Sistemleri Denetimi
Bilgi sistemleri de diğer sistemlerde olduğu
gibi dışarı ile temasta oldukları için bir takım
risklerle karşı karşıyadırlar. Şekil 1.1 de bilgi
sistemlerinde karşılaşılabilen riskler
görülmektedir.
Şekil 1.1 Bilgi sitemlerinde karşılaşılabilen riskler
Yönetim Kontrolleri
Teknik Kontroller
Şekil 1.2 BT denetimi sınıflandırması
Tespit etmeye
yönelik kontroller
Yönetişim Kontrolleri
Uygulma
kontrolleri
Önleyici kontroller
Genel
kontroller
Düzeltici kontroller
1.3.1 Bilgi Teknolojileri Denetimi Sınıflandırması
Şekil 1.2 de görülebileceği üzere BT denetimini çeşitli
sınıflandırmalara tabi tutmak mümkündür.
Denetim çalışmalarının en başında gelen ve
temelinde
yatan
sistemin
teknik
açıdan
denetlenmesidir.
Yine bunun gibi kontrolleri değişik özelliklerine
göre sınıflandırmak mümkün olacaktır.
Bankacılık Düzenleme ve Denetleme Kurumu; bu
sınıflandırmalar içinde Genel Kontrol ve Uygulama
Kontrollerini takip etmektedir.
1.3.2 Bilgi Teknolojileri Denetim Süreci
Denetim yaklaşımının belirlenmesi ve planlama.
Denetim amacının ve çerçevesinin belirlenmesi.
Eldeki bilgilerin değerlendirilmesi
Bilinen risklerin değerlendirilmesi
Denetim plan ve programının oluşturulması.
 Denetimin gerçekleştirilmesi.
Görüşmeler.
Uygunluk incelemesi.
Prosedürlerin analitik incelemesi
Detaylı testler.
Kanıt elde etme.
 Denetimin sonuçlandırılması
Sonuçların değerlendirilmesi.
Raporun oluşturulması ve yayınlanması
1.3.3.Bilgi Teknolojileri Denetim Alanları
Bilgi sistemleri yapısal olarak 4 ana başlık altında
ele alınarak incelenir. Bunlar;
Sistem Geliştirme Süreçleri
Sistemler Yazılım Kontrolleri
Uygulama Kontrolleri
Veri Yapıları
 Öte yandan bütün olarak bakıldığında, BT denetimi
aşağıdaki alanlarda yapılır. Bu 7 alanda yapılan
kontrollerin başarı ile tamamlanması gerekmektedir.
Böylece kurum bilgi sistemlerinin güvenli
olduğundan bahsedebiliriz
Bilgi Teknolojileri Süreçleri
Uygulamalar ve modülleri
Spesifik yazılımlar, donanımlar, altyapı vb.
Belirlenmiş standartlara göre yapılan denetimler.
Spesifik konfigürasyonlar.
İş süreçleri ile uygulama uygunluğu.
Sahtekârlık denetimi.
1.3.3.1 BDDK Bilgi Sistemi Genel Kontrolleri
Şekil 1.3 COBIT Ana Kontrol Hedefleri
1.3.3.2 BDDK Bilgi Sistemi Uygulama Kontrolleri
Uygulama kontrolleri asgari aşağıdaki unsurları içerir:
Veri oluşturma ve yetkilendirme
Bilginin akışı ve uygulamalara girilmesi
Veri İşleme ve Onaylar
Üretilen bilgi ve Raporlama
2. ITIL (Bilgi Teknolojileri Altyapı Kütüphanesi)
ITIL (Information Technologies Infrastructure Library) operasyonel bilgi
işlem hizmetlerinin verimli ve etkin bir şekilde yürütülmesi için
geliştirilmiş kalite yönetim yöntembilimidir .
ITIL, Bilgi İşlem hizmetlerini en başarılı yöneten
örnek uygulamaları esas alarak oluşturulan,
süreçleri entegre olarak anlatan bir dizi yazılı
rehberdir.
Eğitim programı,
Sertifikalandırması,
Danışmanlık hizmetleri,
Yazılım destek programları, olan uluslararası bir standarda dönüşmüş
durumdadır
2.1Hizmet Destek
Değişim Yönetimi: Her türlü değişikliği etkin şekilde
yönetmek.
Problem Yönetimi: Hizmet kesintilerini en aza
indirmek.
Olay Yönetimi: Belirlenen hizmet düzeylerinin
sürekliliğini sağlamak, hizmet kesintilerini etkin ve hızlı
bir şekilde gidermek.
Konfigürasyon Yönetimi: Bilgi İşlem teknik altyapısını
kontrol etmek. Sadece onaylanmış yazılım ve
donanımların kullanımını sağlamak.
Sürüm Yönetimi: Değişim sürümlerini yönetmek.
Sürüm dağıtımını otomatikleştirmek. Onaylı yazılımların
kullanımını sağlamak.
2.2 Hizmet Sağlama
Hizmet (Düzeyi)Yönetimi: İş hedefleri ve müşteri istekleri
doğrultusunda hizmet ve hizmet düzeylerini belirlemek,
takip ve kontrol etmek.
Kapasite Yönetimi: Bilgi İşlem kaynaklarını verimli ve etkin
kullanmak.
Finansal Yönetim: Bilgi İşlem hizmet maliyetlerini
hesaplamak, kontrol etmek ve en alt seviyede tutmak.
Servis Sürekliliği Yönetimi: Bir felaket sonrasında
hizmetlerin aksamamasını sağlamak.
 Uygulanabilirlik
(Kullanırlılık)
Yönetimi:
Hizmet
kullanırlılık düzeylerini en üst seviyede tutmak.
2.2.1 BT Hizmet Süreçleri
ITIL (Bilgi Teknolojileri Altyapı Kütüphanesi), BT hizmet yönetimi
süreçlerini iki bölümde ele almaktadır.
2.2.1.1 Hizmet Teslimi
Hizmet Seviyesi Yönetimi
Kapasite Yönetimi
Finans Yönetimi
Erişilebilirlik Yönetimi
BT Hizmet Devamlılığı Yönetimi
2.2.1.2 Hizmet Desteği
Konfigürasyon Yönetimi
Değişim Yönetimi
Tahliye Yönetimi
Vaka yönetimi
Sorun Yönetimi
Hizmet Masası
2.2.2 ITIL Kitapları
ITIL Service Strategy
ITIL Service Design
ITIL Service Transition
ITIL Service Operation
ITIL Continual Service Improvement
3.COBIT NEDİR?
CobiT, Türkçe karşılığı Bilgi ve İlgili Teknolojiler İçin
Kontrol Hedefleri olan “Control OBjectives for
Information and related Technology”
kelimelerinden üretilmiş bir kısaltmadır. CobiT
sadece bir denetim aracı değil, aynı zamanda bir
yönetişim aracı olma amacını da taşır.
COBIT 5: Geçmişi
Kapsamın Evrimi
Governance of Enterprise IT
IT Governance
Val IT 2.0
Management
(2008)
Control
Risk IT
(2009)
Audit
COBIT1
1996
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1 COBIT 5
2005/7
2012
ISACA (www.isaca.org/cobit ) tarafından sunulan iş yapısı (framework)
© 2012 ISACA® All rights reserved.
90
3.1 COBIT Versiyonları ve Tarihçesi
COBIT dört ana yayımdan oluşmuştur:
1996, COBIT birinci baskı yayımlandı.
1998, İkinci baskıda yönetim yönergelerine
eklendi.
2000, Üçüncü baskı yayımlandı.
2003, COBIT online sürümü kullanıma sunuldu.
2005 Aralık, Dördüncü baskı yayımlandı.
2007 Mayıs, Güncel versiyonu 4.1 yayımlandı.
Şekil 3.1 COBIT İş Hedefleri
3.1.1 COBIT Versiyon 4
4.1 versiyonundaki temel değişiklikler;
Olgunluk modeli için destek,
Amaçların basitleştirilmiş tarifi,
İş, BT Hedefleri ve BT Süreçleri arasındaki çift yönlü ilişkileri ve
süreçleri basamaklandırmak
şeklinde listelenebilir.
TBD Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri (COBIT) Sürüm
1.0 Nisan 2008
Ayrıca her işlem için oluşturulan yeni alt kısımlar şunlardır:
Girdilerin çapraz referansları ve diğer COBIT süreçlerinin çıktıları
(parmak göstergesinin gelişimine yardımcı olan)
Sorumlu bir atama ile her işlem için faaliyetler (CFO, CEO, BT
Hizmetleri Müdürü ve Geliştirme Müdürünün ne yapması gerektiğini
gösteren)
Versiyon 4.1 aşağıdaki yayınlardan
oluşmaktadır;
Yönetici Özeti
Yönetim ve Kontrol Çerçevesi
Kontrol Nesneleri
Yönetim Kılavuzu
Uygulama Kılavuzu
BT Güvence Kılavuzu
3.1.2 COBIT Versiyon 4.1
COBIT sürümü 4.1 simdi ISACA web sitesinde mevcuttur. Yapılan
büyük değişiklikler şunlardır:
Hedef açıklamaları basitleştirildi
Süreçler ile "İşletme", "BT hedefleri" ve "BT süreçleri" arasındaki çift yönlü
ilişki basamaklandırıldı.
COBIT Versiyon 4.
•
•
•
•
Yönetimsel Özet
Çatı
İçerik
Ekler
3.2 COBIT 4’ün Ana Kontrol Hedefleri
COBIT ana kontrol hedefleri dört etki alanını kapsar:
Planlama ve Organizasyon
Tedarik ve Uygulama
Hizmet ve Destek
İzleme ve Değerlendirme
İçerik:________________________
Değerlendirme Numarası: _________________
Değerlendirme Karnesi
Column1
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO10
PO11
AI1
AI2
AI3
AI4
AI5
AI6
AI7
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
IT Process
BT Stratejisi ve Planı
Bilgi Mimarisinin Tanımlanması
Teknoloji Stratejisinin Tanımlanması
BT Süreçleri ve Organizasyon
BT Yatırım Yönetimi
İletişim Hedefleri
İnsan Kaynakları Yönetimi
Dış gereksinimler ile uyumluluğun sınanması
Risk değerlendirmesi
Proje Yönetimi
Kalite Yönetimi
Otomasyon Çözümlerinin Belirlenmesi
Uygulama Yazılımlarının alınması ve sürdürülmesi
Teknoloji Mimarisinin uygulanması ve sürdürülmesi
Operasyon ve kullanım
BT Kaynaklarının Alımı
Değişikliklerin Yönetilmesi
Çözümlerin ve Değişikliklerin Yönetilmesi
Hizmet Seviyelerinin Tanımlanması
Üçüncü parti hizmetlerin yönetilmesi
Performans ve Kapasitenin Yönetilmesi
Hizmet/İş sürekliliğinin sağlanması
Sistem Güvenliğinin sağlanması
Maliyetlerin tespiti ve hesaplanması
Kullanıcıların eğitilmesi
Hizmet Masası ve Olay Yönetimi
Konfigürasyonun yönetilmesi
Prolem Yönetimi
Verinin Yönetimi
Fiziksel Ortamın (Tesisin) yönetimi
Operasyonun Yönetimi
Süreçlerin izlenmesi
İç kontrol yeterliliği değerlendirmesi
Bağımsız güvence sağlanması
BT Yönetişim Sağlanması
Atanmış Sorululuklar Aktivitelerin Yürütülmesi İzlenen Metrikler
Dokümanlar
Süreçler
Alanlar
Planlama ve
organizasyon
Alım ve
Uyarlama
Teslimat ve
Destek
İzleme ve
Değerlendirme
3.3 COBIT 4.1 Olgunluk Modelleri
CobiT 4.1’in ortaya çıkması ile durmuştur. Ana hatları ile CobiT
Olgunluk Modellerinin hesaplaması şu şekildedir:
Olgunluk Seviyesi
Yürütülen Aktiviteler
Başlangıç Düzeyi
0
Aktivite ile ilgili önemin anlaşılmamış olması
İzleme yapılmamalta
Dokümanlar bulunmamakta
Bir iyileşme alanı gözlemlendi
1
Aktivite ilgili fikir sahibi olduğu gözlemlenmiştir
İzleme yapılmamaltadır
Dokümanlar bulunmamaktadır
Bir iyileşme alanı gözlemlenmiştir
2
Bireyler aktivite ile ilgili sonuçların önemini kavramaktadır
Dokümanlar bulunmamaktadır
3
Personel faaliyet yöntemleri ve hedefleri konusunda eğitilmiştir
Belgeler mevcuttur
Gerekli görüldükçe (ad hoc)
Tekrarlanan ancak tanımsız
Tanımlı
Standart
4
İzleme Yapılmaktadır
Belgeler mevcuttur
Aktivite sürekli iyileştirme altındadır
Otomatik araçlar kullanılarak sınırlı ve dağınık bir şekilde uygulanır
Optimize
5
İzleme Yapılmaktadır
Belgeler mevcuttur ve güncellenmektedir
Otomatik araçlar faaliyet kalitesini ve etkinliğini artırmak için, entegre
bir şekilde uygulanır
COBIT 5
ISACA COBIT 5 Yayınları
COBIT 4.1’den 5’e Neler Değişti
 Aşağıdaki alanlarda temel değişiklikler yapılmıştır:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Yeni GEIT (Governance of Enterprise IT) Prensipleri
Sağlayıcılara (Enabler) odaklılık
Yeni Süreç Referans Modeli
Yeni ve Değiştirilen Süreçler
Yeni Uygulama ve Aktiviteler
Hedefler ve Metrikler
Süreç girdi ve çıktıları
RACI Haritaları
Süreç kabiliyet olgunluk modeli ve Değerlendirme
yaklaşımı
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
107publication or product.
Yeni ve Değişen süreçler
COBIT 5 ile COBIT 4.1 de var olan yönetim süreçleri ile Val IT ve Risk IT
süreçlerinde var olan içerikler yeni süreç referans modelinde birleştirilmiştir.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
108
Yeni ve Değişen süreçler
 Yeni gelen ve değişikliğe uyrayan süreçler:
 APO03 Kurumsal Mimarinin Yönetimi.
 APO04 İnovasyon yönetimi.
 APO05 Portföy Yönetimi.
 APO06 Bütçe ve Maliyet Yönetimi.
 APO08 İlişki Yönetimi.
 APO13 Güvenlik yönetimi.
 BAI05 Organizasyonel değişiklik yönetimi.
 BAI08 Bilgi Yönetimi.
 BAI09 Varlık yönetimi.
 DSS05 Güvenlik hizmetleri yönetimi.
 DSS06 İş süreç control yönetimi.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
109publication or product.
Şirket BT Yönetimi ile Topluluk BT
Yönetişimi Arasındaki Ayrım
BT
Yönetişim
BT
Yönetim
Yönetişim, paydaşların gereksinimlerini, durum ve seçeneklerini, önceliklerini ve
hedeflerini karar verme mekanizmaları ile değerlendirerek kurumun hedeflerine
ulaştığını performans ölçümlemeleri ile garanti eder, kararlaştırılan hedef ve amaçlara
ilerleme durumunu ve uyumluluğunu izler
Yönetim, yönetişim unsurunun belirlediği ve anlaştığı hedef ve doğrultuya ulaşması için
paralel olarak gerekli aktiviteleri planlar, tasarlar, icra eder ve sonuçlarını izler
RACI Haritaları
Source: COBIT® 4.1, page 39. © 2007 IT Governance Institute® All rights reserved.
Source: COBIT® 5: Enabling Processes, page 31. © 2012 ISACA® All rights reserved.
111
COBIT 5 Yapısı (Framework)
Basit tanımıyla, COBIT 5 kurumlara kaynak kullanımı, riskler
ve sağlanacak faydalar arasında bir denge kurmaları sureti ile
BT’den optimum iş değeri yaratmaları için yardımcı olur
COBIT 5 tüm kurum için teknoloji ve bilginin bütünsel olarak
yönetişim ve yönetiminin sağlanmasına yardımcı olur. Bunun
için uçtan uca iş fonksiyonel alanları ve sorumluluklarını da
değerlendirerek BT’nin iç ve dış paydaşlarını da kaosama alır
COBIT 5 prensip ve imkanları büyük, orta çaplı veya küçük,
ticari veya kar amacı gütmeyen tüm kurumlarda
uygulanabilmektedir
112
Beş ana COBIT 5 Prensibi
1.Paydaş gereksinimlerinin karşılanması
2.Kurumun uçtan-uca kapsanması
3.Tek Entegre bir Yapının uygulanması
4.Bütünsel Yaklaşımın Etkin Olması
5.Yönetişimin Yönetimden ayrılması
113
COBIT 5 Prensipleri
1. Paydaş
Gereksinimlerini
n Karşılanması
5. Yönetişimin
Yönetimden
ayrılması
2. Kurumun
uçtan-uca
kapsamı
COBIT 5
Prensipleri
3. Bütünsel ve
tek bir yapının
(framework)
uygulanması
4. Bütünsel bir
yaklaşıma
inkan verilmesi
114
Source:
COBIT®
5, figure 2. © 2012
ISACA®
All rights reserved.
COBIT 5 Sağlayıcıları
2. Süreçler
3.
Organizasyon
Yapıları
4. Kültür, Etik
ve Davranışlar
1. Prensipler, Politikalar ve Yapılar (framework)
5. Bilgi
6. Hizmetler,
altyapı ve
uygulamalar
7. İnsan,
Beceri ve
Yetenekler
Kaynaklar
115
Yönetişim ve Yönetim
Yönetişim, paydaşların gereksinimlerini, durum ve seçeneklerini,
önceliklerini ve hedeflerini karar verme mekanizmaları ile değerlendirerek
kurumun hedeflerine ulaştığını performans ölçümlemeleri ile garanti eder,
kararlaştırılan hedef ve amaçlara ilerleme durumunu ve uyumluluğunu izler
Yönetim, yönetişim unsurunun belirlediği ve anlaştığı hedef ve doğrultuya
ulaşması için paralel olarak gerekli aktiviteleri planlar, tasarlar, icra eder ve
sonuçlarını izler
116
Özet Olarak…
COBIT 5 ile gelen 5 ana prensip kurumunuz için
etkili bir yönetişim ve yönetim yapısını
(framework) sağlarken 7 ana bütünsel kabiliyet ile
bilgi ve teknoloji yatırımlarızı paydaşların faydaları
doğrultusunda optimize etmenizi sağlar
117
COBIT 5: Süreçler (cont.)
118
COBIT 5: Süreçler(cont.)
119
COBIT 5 ‘in uygulanması(cont.)
120
4.TEKNOLOJİ YÖNETİMİ
Teknoloji Yönetimi, “Bir organizasyonun stratejik ve taktik amaçlarının
şekillendirilmesinde ve bunlara ulaşılmasında ihtiyaç duyulan teknolojik
kapasitenin planlanması, geliştirilmesi ve uygulanmasıdır.”
4.1 Teknoloji Yönetiminde Yaklaşımlar
Teknoloji Yönetimi konusunda, farklı iki yaklaşım
söz konusudur. Birinci yaklaşım, mikro yaklaşım
olup, teknolojiyi firma bazında planlama, koordine
etme ve yönlendirmeyi içerirken diğeri daha makro
olup, ülke genelinde teknolojik tahmin, teknolojik
planlama, bilim-teknoloji politikasının tespiti,
uygulanması ve kontrolüyle ilgili faaliyetlerin
tümünü inceler.
Teknoloji Yönetimi’ nin kapsamı içindeki konular
şunlardır:
Teknolojik Tahmin
Teknolojik Planlama
Teknolojik Risk Analizleri
Ar-Ge Yönetimi
Teknolojik Yeniliklerin Yönetimi
Teknolojik Rekabet Stratejileri
Teknoloji Transferi
Teknoloji Seçimi
Teknolojinin Ticarileştirilmesi (Patent, Lisans Anlaşmaları,
Copyrights, Ticari Markalar)
Mühendislerin ve Bilim Adamlarının Yönetimi
Teknoloji ve Organizasyonel Değişimler
Teknoloji temini için farklı seçenekler söz konusudur:
Firma içi Ar-Ge faaliyetleriyle ürün ve proses gelistirmek.
Teknolojiyi transfer etme (Lisans alma, Yabancı sermaye ortaklığı,
Joint Venture vb.)
Mevcut teknolojiyi kullanmak
4.2 Teknoloji Yönetim Süreci
Teknolojik yenilik geliştirme süreci uzun bir süreci içerir. Buluş veya yeni
bir fikir aşamasından başlayan bu süreç Ar-Ge faaliyetlerinin
gerçekleştirilmesi ve Ar-Ge faaliyetleri sonucu ortaya çıkan yeni ürün ve
hizmetlerin pazara ve müşterilere sunulmasına dek yapılan bütün
faaliyetleri içerir
Teknolojik Yenilik sürecinin yönetimindeki stratejik karar noktaları
şunlardır:
Stratejik Teknolojik Planlama
Teknolojik Tahmin
Araştırma ve Geliştirme
Teknolojinin Ticarileştirilmesi
Teknolojinin Pazarlanması
5.RİSK ve YÖNETİMİ
5.1 Risk Kavramı
Günlük hayatta risk kavramı bir hayli sık kullanılmasına rağmen,
riskin tanımını yapmak bir hayli zordur. Risk farklı şekillerde
tanımlanabilir. Bunlardan bazıları şunlardır: Risk, bir olayın ya da
olaylar setinin ortaya çıkma olasılığıdır. Risk, gerek belirsizlik
gerekse belirsizliğin sonuçları olarak tanımlanabilir.
5.2 Belirsizlik Kavramı
Belirsizlik; meydana gelecek sonuçların belirlenememesi ve
bilinememesi olarak tanımlanabilir. Belirsizlik sübjektif bir kavramdır,
kişiye ve kurma göre değişir ve bu yüzden de kesin olarak ölçülemez.
5.3 Risk Belirleme Süreci
Riski tanımak ve ölçmek mevcut durumu değiştirmediği gibi, yatırımın
sonucunu da bilinir hale getirmez. Ayrıca bir yatırımın riski
hesaplandıktan sonra yatırımın başarısız olabilme riski ortadan kalkmaz.
Fakat kurumlar riski tanıyıp ve bildiklerinde yatırım konusunda daha
bilinçli kararlar verebilecektir
5.3 Risk Belirleme Süreci
5.3.1 Riskin Tanımlanması
5.3.1.1Riskin Ölçülmesi
5.3.2 Riskin Değerlendirilmesi
5.3.2.1 Bilişim Teknolojilerinde Risk Değerlendirme
5.3.2.1.1 Risk Değerlendirmesi
haritasının çıkarılması
ve
Risk
5.3.2.1.2 Risk Yönetiminde Kullanılan Araçlar ve Yöntemler
5.3.2.2 BT Risk Yönetiminde Roller
5.3.3 Riskin yargılanması
5.4 Risk Yönetimi
Risk Yönetimi, proaktif ve hızlı kararlar ve faaliyetler ile sürekli olarak
risklerin belirlendiği, hangi risklerin öncelikle çözümlenmesi gerektiğinin
değerlendirildiği, risklerle başa çıkmak için stratejiler ve planların
geliştirilerek uygulandığı bir sistematiktir.
6.BANKALARDA TEKNOLOJİ RİSKİ
6.1Bankalarda Teknoloji Kullanımı
Teknolojideki hızlı gelişmelerle birlikte, dünya finans piyasaları
ile entegrasyon sürecine giren Türk bankacılık sektörü,
gelişmişülkelerin bankacılık sistemlerinde yaygın bir şekilde
kullanılan leasing, factoring, forfaiting gibi mali hizmetler;
swap, forward, future, option gibi risk yönetim ürünleri ve
internet bankacılığı hizmetlerini sunma aşamasına gelmiştir.
Bankacılık sektörüne uygulanan yeni teknolojiler temel olarak iki alanda
kullanılmaktadır;
1. Banka İçi Otomasyon
2. Banka Otomasyonu
Bankacılık sektörünü, teknolojik yenilikleri kullanmaya iten bir takım
faktörler aşağıdaki gibi ifade edilebilir
— Maliyet unsuru,
— Bankalar arası rekabet,
— Bilgi toplumunun talepleri,
— Yeni hizmet ve ürün anlayışı,
— Bilgisayar teknolojisindeki gelişmeler,
— Yeni sistemin sağladığı verimlilik.
6.2 Bankalarda Teknoloji Yönetimi Ve Kontrolü
Rekabetin çok üst düzeylerde olduğu günümüz dünyasında teknoloji
olmadan herhangi bir şey yapmak neredeyse imkansız hale gelmiştir.
Teknolojiyi en iyi kullanan bankalar rakiplerine göre avantajlı olmakta,
rekabette daha öne çıkmaktadırlar.
6.2.1.Bankalarda Teknoloji Yönetimi
1. Kesintisiz hizmet
2. Güvenlik
3. Destek ve Yardım Masası
4. Yedekleme
6.2.2 Bankalarda Teknoloji Yönetimi
Problem Yönetimi
Değişim Yönetimi
Bilgi Güvenliği
Beklenmedik Durum Planları
Kaynakların Yönetilmesi
Uygulama Programlarının Geliştirilmesi
Uygulama Programlar Ve İşletim Sistemleri
Alımı
Dış Kaynak Kullanımı
6.2.2 Bankalarda Teknoloji Kontrolü
Bilgi sistemlerinin ve bilişim teknolojisinin içerdiği
risklerin, bankaların faaliyetlerinin kesintisiz
yürütülmesi ve muhtemel zararların önlenmesi
amacıyla, etkin olarak kontrolü şarttır. Genel kontrol
ve incelemeler, veri yedekleme ve ilgili diğer
işlemleri, kullanılan temel yazılımlardaki ve diğer
yazılımlardaki gelişmeleri, bilgi erişim politikalarını
ve bilgi erişimine ilişkin fiziki ve mantıksal güvenlik
kontrollerini kapsar.
7.COBIT VE DİĞER BT DENETİMİ KONTROL VE
UYGULAMA YÖNTEMLERİ
7.1 COBIT ve Diğer Denetim Modelleri
Denetim modelleri
Sarban
esOxley
COSO
ABD güvenlik
ve müdahale
komisyonu
COBIT
ISO 20000
Kalite Sistemi
BS 15000
ASL
BT Planlama
ITIL
Proje Yönetimi
IT Security
Uyg. Geliş.
(SDLC)
CMMI
Hizmet
Yönetimi
Kalite
sistemleri &
Yönetim
sistemleri
BT operasyonları
ISO
1779
9
PMI
TSO
IS
Strategy
Şekil 8 COBIT ile diğer denetim araçları arasındaki ilişki
ISO
6
Sigma
7.2 Basel II
Basel Sermaye Uyumu adı verilen Basel II, ikinci
Basel Anlaşmadır ve bankanın sermayesinin
kifayetini ölçen uluslararası standartları gözden
geçirmek için Bankacılık Denetimi üzerine kurulan
13 ülkeden merkez bankacıların oluşturduğu Basel
Komiteyi temsil etmektedir. Basel II Basel II,
operasyonel risklerin tanımlanması,
değerlendirilmesi ve ölçülmesi için geliştirilmiş bir
kurallar bütünüdür.
7.2 Basel II
7.2.1 COBIT ve Basel II ilişkisi
7.2.2 COBIT ve COSO İlişkisi
7.2.3 COBIT ve ISO 17799

Yeni İş Modellerinde İŞ-BTSüreç Uyumluluğu için Araçlar ve

Transkript

Benzer belgeler

KPMG Gündem 13 Bilgi Sistemleri Risk Yönetimi Dosyası (PDF 92KB)

Letter to care recipient advising of visit

değişim için denetim

General Procurement Notice (Türkçe Tercümesi)

Birleşik Krallık ve Avrupa Birliği`nde ç Kontrol

ULTRAPROBE 10,000

buradan - PODEM | Kamusal Politika ve Demokrasi Çalışmaları

Advanced Chemical Process Control

Orkestra Şefiniz: COBIT

2011 - Türkiye İç Denetim Enstitüsü

Eğ tm - Vitel