GAIT Metodolojisi - IIA Global - The Institute of Internal Auditors
Transkript
GAIT Metodolojisi - IIA Global - The Institute of Internal Auditors
GAIT Metodolojisi Genel IT kontrollerinin kapsamını değerlendirmek için risk-temelli bir yaklaşım İç Denetim Enstitüsü Tablo ve Grafikler Tablo 1: GAIT Metodolojisindeki Bölümler …………………………………………………………………….....2 Tablo 2: GAIT’i anlamak …………………………………………………………………………………………………….3 Tablo 3: Dört ana GAIT prensipi…………………………………………………………………………………………5 Tablo 4: GAIT matrisi………………………………………………………………………………………………………….8 Tablo 5: GAIT’in uygulanması…………………………………………………………………………………………..11 Tablo 6: Boş GAIT matrisi…………………………………………………………………………………………………12 Tablo 7: Aplikasyon altyapısı ve riskler hakkında ilave bilgiler………………………………………….18 Tablo 8: Aplikasyon katmanı IT genel kontrol prosesleri (ITGC) ve tipik riskler…………………21 Tablo 9: Veritabanı katmanı IT genel kontrol prosesleri (ITGC) ve tipik riskler………………….22 Tablo 10: İşletim sistemi katmanı IT genel kontrol prosesleri (ITGC) ve tipik riskler………….24 Tablo 11: GAIT matrisindeki her hücre için sorulacak sorular……………………………………………25 Tablo 12: Yaygınlık değerlendirmesi…………………………………………………………………………………28 Tablo 13: Kilit IT genel kontrollerinin (ITGC) tanımlanması……………………………………………….29 Tablo 14: Kısmen tamamlanmış GAIT matrisi……………………………………………………………………31 Tablo 15: GAIT şablonu…………………………………………………………………………………………………….33 Tablo 16: Terimce…………………………………………………………………………………………………………….38 Prosedürler GAIT metodolojisini uygulama………………………………………………………………………………….13 Kilit manuel ve otomatik kontrolleri ve kilit işlevleri gözden geçirme....................... .14 ITGC’nin test edilmesini gerektiren aplikasyonları tanımlama....................................16 Kapsam-içi aplikasyonları ve bunların altyapısını daha kapsamlı kavrama.................18 IT genel kontrol proses (ITGC) hatası riskini değerlendirme.......................................23 IT genel kontrol proses (IYGC) yaygınlığını değerlendirme.........................................28 Test için kilit kontrolleri seçme...................................................................................29 Risk değerlendirme.....................................................................................................30 Aşağıdan-yukarıya risk değerlendirmesinin kullanılması……………………………………….....37 Bölüm 1. GAIT’i Anlamak Bu bölüm, GAIT metodolojisini daha iyi anlamanıza yardımcı olmak amacıyla, aşağıda Tablo 2’de tarif edilen bölümler altında incelenmektedir. Tablo 2. GAIT’i Anlamak Bölüm “Yönetici özeti” “GAIT’in dört ana prensibini anlamak” “Kurum düzeyinde kontroller hakkında bir çift söz” Tanım GAIT’e yönetici düzeyinde giriş GAIT ana prensiplerinin detaylı tartışması Bakınız Sayfa 4 Sayfa 6 GAIT ile ilgili kurum düzeyinde kontroller Sayfa 10 Yönetici Özeti Gerek şirket yönetim kademesinin, gerekse bağımsız denetçilerin karşı karşıya kaldığı önemli zorluklardan biri, 2002 tarihli Sarbanes-Oxley Kanunu Madde 404 (“§404”) hükümlerinde öngörülen şirket-içi finansal raporlama denetimlerinin (ICFR) yıllık değerlendirmesi için etkin ve verimli bir kapsam tanımlama sorunudur. ABD Menkul Kıymetler ve Borsa Komisyonu (SEC)1 ve Kamu Gözetimi Muhasebe ve Denetim Standartları Kurumu (PCAOB)2, “§404” kapsamını ve bağlantılı kilit kontrolleri tanımlamak için yukarıdan-aşağı ve risk-temelli bir yaklaşım önermiştir3. Bu yaklaşım, finansal raporlama bağlamında karşılaşılması daha muhtemel ve önemli risklere odaklanan etkin bir değerlendirmeye olanak verdiğinden dolayı tavsiye edilmektedir ve genel kabul görmüştür. 1. 16 Mayıs 2005 tarihli “İç Denetim Raporlama Şartlarının Uygulanması Hakkında Komisyon Bildirisi”nde ve Haziran 2007’de yayınlanan açıklayıcı kılavuzda. 2. 5 numaralı denetim standardında. 3. SEC ve PCAOB kılavuzlarında “kilit kontroller” kavramı tartışılmamaktadır. Ancak bu terim hem şirket yönetimleri hem de dış denetçiler tarafından kabul gören ve kullanılan bir terim haline gelmiştir. Sayfa 37’de “Kilit kontroller” bölümüne bakınız. İç Denetim Enstitüsü (IIA) ve PCAOB gibi kurumlar, şirket düzeyinde kilit kontrollerin tanımlanmasıyla ilgili kılavuzlar hazırlanmışlardır. Bunlara ilaveten, Bilişim Sistemleri Denetim ve Kontrol Enstitüsü (ISACA) gibi kurumlar da IT şirketleri bünyesindeki kontrol faaliyetlerinin değerlendirilmesine yönelik kılavuzlar hazırlamış ve yayınlamışlardır. Bununla birlikte, IT şirketleri bünyesindeki kontroller (IT genel kontrolleri veya ITGC4,5) çerçevesinde yapılan işlerin kapsamının tavsiye edilen yukarıdan-aşağı ve risk-temelli yaklaşımla nasıl belirlenebileceği noktasında hâlâ tam netlik sağlanabilmiş değildir. ITGC kilit kontrolleri (ITCG prosesleri bünyesinde var olan kontroller), mali tablolar ve kritik muhasebe prosesleri düzeyinden başlayıp ITCG düzeyine kadar inen yukarıdan-aşağıya ve risk-temelli bir yaklaşımın parçası olarak tanımlanmazlarsa, kritik önem taşımayan kontrollerin değerlendirmeye alınması ve gözden geçirilmesi ve böylece gereksiz emek ve kaynak sarfiyatı yapılması; kilit önemde kontrollerin denetlenmemesi ve proses içinde geç bir aşamada denetlenmesi ve neticede mali değerlendirme ve denetim etkinliğinin risk altına girmesi6 tehlikesi mevcuttur. Mevcut IT Genel Kontrolleri Kapsamını Risk Temelli Değerlendirme Kılavuzu (GAIT), ICRF için kilit kontrollerin kapsamını yukarıdan-aşağı ve risk-temelli olarak saptama çabalarının bir parçası ve devamı olarak ITCG bünyesindeki kilit kontrol süreçlerini tanımlama yolunda hem şirket yönetici kademesinin hem de dış denetçilerin7 istifade edebileceği bir metodolojiyi kullanıma sunar. Bu kılavuz, PCAOB’nin 5 numaralı Denetim Standardına (AS/5),8 SEC’in önerdiği açıklayıcı kılavuza (Haziran 2007’de yayınlanmıştır) ve IIA’nın “Sarbanes-Oxley Kanunu Madde 404: İç Denetim Çalışanları için Yönetim Kılavuzu” (§ 404 Kılavuzu) hükümlerine uygundur. GAIT, herhangi bir kurumsal yapının ihtiyaçlarına göre şekillendirilebilen yapısal bir düşünce prosesidir. Bu prosesin başlangıç noktası, yukarıdan-aşağıya ve risk-temelli bir yaklaşımla tanımlanan işletme proses riskleri ve bununla bağlantılı kilit kontrollerdir. Mali tablolarla ilgili riskler, GAIT yaklaşımıyla bir üst seviyeye taşınır. Bu seviye, bir kontrol ve güvenlik zaafının iş prosesi içinde önemli bir kontrol hatasına yol açabileceği ve bağlantılı olarak mali tabloların önemli oranda hatalı sunulmasıyla sonuçlanabileceği ITCG prosesi risklerinin tanımlanmasıdır. 4. ITCG, genellikle bir IT kurumunun iş prosesleri çerçevesinde uygulanan kontrollerdir (alternatif olarak ITCG prosesleri olarak tanımlanırlar). Bunların şu şekilde tanımlanması mümkündür: “Genel manada ifade etmek gerekirse, ITCG, muhasebe hareketlerinin işlenmesi için gereken işlevselliği sağlayan ve otomatik kontrol araçları temin eden aplikasyonların geliştirilmesine ve akabinde bunların işlerliğinin idamesine olanak verir. Bu kontroller, ayrıca, aplikasyonların muntazam işlerliğini ve gerek verilerin, gerekse programların yetkisiz değişikliklere karşı korunmasını sağlar.” (§404 Kılavuzu) 5. Sayfa 36’da “ITCG” bölümüne bakınız. 6. Kilit kontrollerin işletme operasyonu açısından da kritik önem arz ettiği belirtilmelidir. Kilit kontrollerin saptanmaması ve bunların test edilmemesi önemli işletme riskleri üzerindeki kontrolün potansiyel olarak kaybedilmesi anlamına gelebilir – bu durum sadece mali raporlama konularını değil, aynı zamanda işletme risk yönetimiyle ilgili hedefleri de etkiler. 7. Bu Kılavuz, “kullanıcılar” tanımı altında §404 Kılavuzundan sorumlu yöneticilere, bağımsız denetçilere ve iç denetçilere vs. yönelik hazırlanmıştır. 8. Prensip olarak, PCAOB’nın, bu doküman gibi bir kılavuzu onaylama veya başka şekillerde resmen tasdik etme veyahut da AS/5 prensiplerine uygunluğunu teyit etme gibi bir görevi yoktur. GAIT, spesifik kilit kontrolleri tanımlamayıp, daha ziyade, kendileriyle ilgili kilit kontrollerin tanımlanmasını gerektiren ITCG proseslerini ve bağlantılı IT kontrol hedeflerini tanımlar. GAIT kullanıcıları, spesifik ITCG kilit kontrollerini tanımlamak ve sonrasında değerlendirmek için, COBIT gibi başka araçlardan yararlanacaklardır. ITCG prosesleri bünyesindeki risklerin tanımlanması, önemli hesaplardan ve bağlantılı iş proseslerinden başlayan yukarıdan-aşağı yaklaşımın bir devamı olduğundan dolayı, işletme ve IT uzmanlarından oluşan bütünleşik bir ekip tarafından yapılmalıdır. Tek başına işletme uzmanları olayın teknik IT boyutunu gözden kaçırabilir; öte yandan, tek başına IT uzmanları ise IT işlevlerine ne ölçüde bel bağlanabileceği konusunda yeterli ferasete sahip olmayabilir. Bu noktada GAIT, her ne kadar ITCG risk değerlendirmesine ve §404 değerlendirmesi kapsamının belirlenmesine odaklansa da, GAIT prensiplerinin başka değerlendirme amaçlarıyla yapılan kontrollerin tanımlanmasına da tatbik edilmesi mümkündür. GAIT’in dört ana prensibini anlamak Bu bölümde, GAIT Prensipleri başlığı altında bulunan ve aşağıda Tablo 3’te özetlenen dört ana GAIT prensibi açıklanmıştır. Bu prensiplerin tatbik edilmesi hakkında bilgi için Sayfa 11’de “GAIT Metodolojisi Uygulaması” bölümüne bakınız. Tablo 3: Dört ana GAIT Prensibi Prensip 1 Genel IT kontrol prosesleri (örneğin değişim yönetimi, yaygınlık, erişim güvenliği, operasyonlar) bünyesindeki risklerin ve bunlarla bağlantılı kontrollerin tanımlanması süreci iş prosesleri kapsamındaki önemli hesapların, bu hesaplarla ilgili risklerin ve kilit kontrollerin tanımlanmasına yönelik yukarıdan-aşağı, risk-temelli yaklaşımın bir devamı niteliği taşımalıdır. 2 Tanımlanması gereken genel IT kontrol prosesi riskleri, mali önem taşıyan uygulamalarla ilgili kritik IT işlevlerini ve bağlantılı verileri etkileyen risklerden oluşur. 3 Tanımlanması gereken genel IT kontrol prosesi riskleri, Ayrıntılar için, bakınız… Sayfa 7 Sayfa 8 Sayfa 9 4 aplikasyon program kodu, veritabanları, işletim sistemleri ve ağlar olmak üzere bizzat IT proseslerinin içinde ve çeşitli IT katmanlarında bulunur. Genel IT kontrol proseslerinin içerdiği riskler, münferit Sayfa 9 kontroller yoluyla değil, IT kontrol hedeflerinin gerçekleştirilmesi yoluyla azaltılabilir. Prensip 1 Genel IT kontrol prosesleri (örneğin değişim yönetimi, yaygınlık, erişim güvenliği, operasyonlar) bünyesindeki risklerin ve bunlarla bağlantılı kontrollerin tanımlanması süreci, iş prosesleri kapsamındaki önemli hesapların, bu hesaplarla ilgili risklerin ve kilit kontrollerin tanımlanmasına yönelik yukarıdan-aşağı, risk-temelli yaklaşımın bir devamı niteliği taşımalıdır. GAIT, iş prosesiyle ilgili adımların (özellikle IT işlevselliğine dayanan kilit kontrolleri tanımlama adımı) sonuçlarını kullanarak, AS/5’te belirtilen yukarıdan-aşağı yaklaşımı geliştirir ve böylece: ITCG proseslerinde, hatalara veya usulsüzlüğe mahal verebilecek ve mali tabloların önemli oranda tahrif edilmesine yol açabilecek potansiyel hata noktalarını tanımlama noktasında kullanıcılara yardımcı olur ve Bu risklerle ilgili kilit ITCG’leri tanımlama olanağı verir. Aşağıda Şekil 1’de, GAIT faaliyetlerini içeren yukarıdan-aşağı prosesin özet sunumu (ayrıca sayfa 38’e bakınız) verilmiştir. Bu sunum şunları içerir: 1. AS/2 aşaması: Önemli hesapların ve lokasyonların, ardından bu hesaplarla bağlantılı iş proseslerinin, söz konusu iş proseslerinde önemli yanlış beyanlara yol açabilecek potansiyel hata noktalarının ve önemli yanlış beyanları önleme ve teşhis etmeye yönelik kilit kontrollerin tanımlanmasıyla başlar. ITCG, AS/2’de tartışma konusu yapılmış, fakat detaylarına girilmemiştir. 2. GAIT, önemli yanlış beyanları önleme ve teşhis etmede kullanılan kritik IT işlevlerini (örneğin kilit otomatik kontroller ve kilit raporlar), sonrasında önemli aplikasyonları 9 (kritik IT işlevlerini ve/veya verilerini içeren aplikasyonlar), sonra önemli aplikasyonlarla bağlantılı ITCG proseslerini ve sonra önemli aplikasyonlarda kritik IT işlevlerinin sürekli işlerliğini güvenceye almak için gereken IT kontrol hedeflerini tanımlayarak yukarıdaki prosesin devamını getirir. 3. ITGC’de kilit kontrolleri tanımlamak için kullanılan, COBIT gibi herhangi bir metodoloji. 9. Bu bağlamda, “aplikasyon” terimi bilgisayar sistemine atıf yapmaktadır. Bazıları bu terimi iş prosesinin bütünü için kullanır, fakat burada terimin kullanım amacı, IT Genel Kontrolleriyle bağlantıları açısından değerlendirilmesi gereken bilgisayar sistemlerini tanımlamaktır. Benzer olarak, “finansal açıdan önemli aplikasyonlar” terimi de, iş proseslerinin bütününden ziyade, bilgisayar sistemlerine atıf yapmaktadır. Şekil 1: GAIT dahil yukarıdan-aşağıya proses Prensip 2 Tanımlanması gereken genel IT kontrol prosesi riskleri, mali açıdan önem taşıyan uygulamalarla ilgili kritik IT işlevlerini ve bağlantılı verileri etkileyen risklerden oluşur. §404 çerçevesinde yapılacak işlerin kapsamında, sadece mali tablolarda makul derecede yüksek bir önemli hata riski teşkil eden ITCG prosesi risklerinin (kritik IT işlevleri üzerindeki dolaylı etkilerinden kaynaklı) üzerinde düşünülmesi gerekir. AS/5’deki yukarıdan-aşağı yaklaşım, iş proseslerindeki potansiyel hata ve arıza noktalarını ve bağlantılı kilit kontrolleri tanımlamayı içerir. IT işlevlerine bağımlı (yani otomatik kilit kontrollere veya kilit raporlara dayanan veya mali açıdan önemli verileri içeren) aplikasyonlar söz konusu olduğunda, bunlar mali açıdan önemli aplikasyon olarak kabul edilir (Sayfa 36’da “Mali açıdan önemli” kısmına bakınız) ve ITCG proseslerindeki zaaflardan dolayı bunların işlerliğinin maruz kaldığı risklerin değerlendirilmesi gerekir. Prensip 3 Tanımlanması gereken genel IT kontrol prosesi riskleri; aplikasyon program kodu, veritabanları, işletim sistemleri ve ağlar olmak üzere bizzat IT proseslerinin içinde ve çeşitli IT katmanlarında bulunur. IT kapsamındaki örneğin ağ taramaları yapma, ağ yönelticilerin bakımını yapma ve aplikasyonlardaki değişiklikleri test etme gibi etkinlikler ITCG proseslerini oluşturur. GAIT metodolojisi, ITCG ile ilgili etkinliklerin değişim yönetimi, operasyonlar ve iş güvenlik prosesleri kapsamına girdiğini varsayar. ITCG prosesleri için birebir bu tanımın (Sayfa 36’da “Tanımlar” bölümünde bulunmaktadır) kullanılması GAIT’in kullanımı açısından kritik önem taşımaz. Her GAIT kullanıcısı GAIT metodolojisinin özünü değiştirmeden kendince bir tanım yapabilir. Her ITCG prosesi ilgili aplikasyonunun altyapısındaki dört katmanda yürür; bunlar aplikasyon, veritabanı (veritabanı şeması gibi bağlantılı yapıları da içerir), işletim sistemi ve ağ altyapısıdır. Bu katmanlar aynı zamanda “yığıt” olarak da bilinir. Mali açıdan önem taşıyan aplikasyonların ve verilerin güvenliğini tehdit eden riskler her ITCG prosesinin her IT altyapı katmanında değerlendirilebilir (örneğin aplikasyon kodu katmanında değişim yönetimi prosesinde veya veritabanı katmanında güvenlik yönetimi prosesinde söz konusu olan riskleri değerlendirmek suretiyle). Aşağıda Tablo 4’te, yığıt yapısının ITCG prosesleriyle ilişkisini gösteren boş bir GAIT matrisi örneği verilmiştir. GAIT matrisinin doldurulması hakkında bilgi için, Sayfa 22’deki “ITCG proses hataları riskinin değerlendirilmesi” başlıklı bölüme bakınız. Kısmen doldurulmuş bir GAIT matrisi için Sayfa 29’daki “Örnek GAIT matrisi” bölümüne bakınız. Tablo 4: GAIT matrisi Katman Aplikasyon Veritabanı İşletim sistemi Ağ altyapısı Değişim Yönetimi Operasyonlar Güvenlik Prensip 4 Genel IT kontrol proseslerinin içerdiği riskler, münferit kontroller yoluyla değil, IT kontrol hedeflerinin gerçekleştirilmesi yoluyla azaltılabilir. Her ITCG prosesi, aşağıda sayılan IT kontrol hedeflerine ulaşmaya yardımcı kontroller içerir: Tüm sistemler üretime alınmadan önce uygun bir şekilde test edilir ve valide edilir. Veriler yetkisiz değişikliklere karşı koruma altına alınır. Operasyon esnasında karşılaşılan problemler veya olaylar münasip bir şekilde cevaplanır, kaydedilir, araştırılır ve çözülür. Bu hedeflere ulaşmada yaşanacak bir başarısızlık, kritik IT işlevlerinin muntazam ve istikrarlı bir şekilde yürümemesi anlamına gelebilir. GAIT, mali açıdan önemli aplikasyonlar için gereken IT kontrol hedeflerini tanımlamaya yardımcı olur. ITCG prosesleri kapsamındaki kontroller doğrudan mali tablolarla ilgili önemli hata riskiyle ilgili değildir. ITGC’lerin kapsamındaki her kontrol, önemli ve ilgili IT kontrol hedeflerine ulaşılmasını güvenceye alır. Bu kontrol hedefleri, önemli IT işlevlerinin tutarlı bir şekilde çalışmasını temin eder. Söz konusu kritik IT işlevleri, iş proseslerindeki kilit kontrollerin istikrarlı işlev görmesi için mutlak gerekli olan işlevlerdir. İş prosesleri kapsamındaki kritik kontroller ise mali tablolardaki esaslı ve önemli hataları önlemeye ve tespit etmeye yararlar. Sonuç olarak, ilk etapta önemli IT kontrol hedeflerinin tanımlanması önemlidir; ancak bunlar tanımlandıktan sonra ITGC kapsamındaki kilit kontrolleri tanımlama aşamasına geçilir. Kapsam içine alınması gereken kilit ITGC kontrolleri, IT kontrol hedeflerine ulaşmak için mutlaka gereken kontrollerdir. Bazı ITGC kontrolleri ne kadar önemli görünürse görünsünler, belirli bir IT kontrol hedefine ulaşmaya yardımcı olmadıkları müddetçe bunların §404’de öngörülen değerlendirme ve test kapmasına alınmaları şart değildir. Kurum seviyesinde kontroller hakkında bir çift söz10 SEC ve PCAOB, kurumsal kontrollerin (Sayfa 35’te “Kurum düzeyinde kontrol” bölümüne bakınız) §404 prosesinin erken bir safhasında yapılmasını tavsiye etmektedir. Kurum düzeyinde yapılan risk değerlendirmesinden ve kontrollerden elde edilen bilgiler (özellikle COSO Kontrol Çevresi katmanıyla ilgili olanlar), örneğin ITGC prosesleri gibi daha alt düzeylerde yapılan risk değerlendirmesinde ve bağlantılı kontrollerde dikkate alınabilir. Bundan dolayı, GAIT, IT kurumsal kontrollerin değerlendirilmesi hakkında detaylı bir tartışma içermez. Bu kontrollerin, kurum düzeyinde yapılan kontroller kapsamında gözden geçirilmiş oldukları varsayılır. GAIT metodolojisini kullanırken, kurum-düzeyinde kontrol faaliyetlerinden elde edilen bilgilerin muhakkak dikkate alınması gerekir, çünkü bu bilgiler belirli ITGC proses hatalarının meydana gelme ihtimalini değerlendirme noktasında etkili ve yararlı olabilir. Örneğin, COSO Kontrolleri Çevresi, işletmede uygun kalifikasyonlu ve eğitimli personelin istihdam edilmesiyle ilgili soruları içerir. IT branşında bu alanla ilgili sorunlar varsa - örneğin aplikasyonları deneyimsiz kişiler test ediyorsa – bu durum, testlerin yeterli düzeyin altında kalma riskinin daha yüksek olduğu anlamına gelebilir. 10. Sayfa 38’deki Terimce’ye bakınız. “Kurum-düzeyinde” teriminin, bazı yayınlarda tercih edilen “şirket-düzeyinde” terimiyle eşanlamlı olduğunu not ediniz. Bölüm 2. GAIT Metodolojisi Uygulaması GAIT metodolojini uygulamaya başlamanıza yardımcı olmak amacıyla, bu bölüm, aşağıda Tablo 5’te açıklanan iki kısma ayrılmıştır. Tablo 5: GAIT’in Uygulanması Bölüm “GAIT: Kısa Tanım” “GAIT sonuçlarının dokümantasyonu” “GAIT’in uyarlanması” “GAIT değerlendirme ekibinin toplanması” “GAIT metodoloji safhaları” Tanım GAIT metodolojisinin özü GAIT sonuçlarının nasıl dokümante edileceği hakkında açıklama GAIT’in kurumunuza uyarlanması hakkında açıklama GAIT uygulaması için gereken ekip elemanlarının tanımı Adım adım GAIT uygulama prosesi safhaları Bakınız Aşağı Sayfa 12 Sayfa 13 Sayfa 13 Sayfa 13 GAIT: Kısa Tanım GAIT metodolojisi finansal önem taşıyan her uygulamayı irdeler ve ITCG proseslerinde yığıt yapısının farklı katmanlarında meydana gelen hataların, ilgili uygulamanın kritik işlevlerinin istikrarlı operasyonuna muhtemel bir tehdit oluşturup oluşturmayacağını tayin eder. Hata meydana gelmesi muhtemelse, GAIT, ITGC proses risklerini ve bağlantılı kontrol hedeflerini detaylı olarak tanımlar; bu kontrol hedeflerine ulaşıldığında bahsedilen riskler de azalır. ITGC kontrol hedeflerine ulaşmaya yardımcı kilit kontrolleri tanımlamak için COBIT ve bir dizi başka metodolojiden yararlanılabilir. Kısaca, GAIT metodolojisi sırayla şu üç soruyu yönelterek size kılavuzluk eder: 1. Finansal açıdan önemli aplikasyonlardaki hangi IT işlevi, önemli raporlama hatalarını önlemeye/tespit etmeye yönelik iş prosesi kilit kontrollerinin uygun işlerliği bakımından kritik önem arz etmektedir (başka bir deyişle hangi IT işlevi kritiktir)? 2. Yığıt yapısının farklı katmanlarındaki her IT prosesi için, meydana gelen bir proses hatasının kritik işlev hatasına yol açma ihtimali – ve dolaylı olarak önemli raporlama hatası riski doğurma ihtimali – makul derecede yüksek midir (başka bir deyişle, ilgili katmandaki proses aksadığında, kritik işlevler bundan nasıl etkilenecektir? Bu aksama, ilgili işlevi önemli raporlama hatası riskine yol açacak ölçüde etkiler mi)? 3. Bu gibi ITGC proses riskleri mevcutsa, bununla ilgili IT kontrol hedefleri nelerdir (başka bir deyişle, kritik işlevlerin işlerliğini güvenceye almak için ne gibi IT kontrol hedeflerine ulaşmak gerekir)? Örneğin: Risk (yığıt yapısının aplikasyon katmanındaki değişim yönetimi prosesi kapsamında): Test edilmeyen uygulama değişiklikleri kritik işlevlerin aksamasına yol açabilir. Kontrol hedefi: Tüm program değişiklikleri uygun bir şekilde test edilir ve uygulamaya geçilmeden evvel sonuçlar gözden geçirilir ve onaylanır. Kilit kontroller: Program değişiklikleri ayrı bir test ortamında test edilir. Tüm test sonuçları bir yönetici tarafından gözden geçirilir ve onaylanır. Önemli değişikliklerin tümü kullanıcı tarafından test edilir ve bir yetkili yönetici tarafından onaylanır. Acil değişiklikler üst IT yönetim kademesi tarafından gözden geçirilir ve onaylanır. GAIT sonuçlarının dokümantasyonu Bu doküman, GAIT sonuçlarının dokümante edilmesiyle ilgili iki farklı yaklaşım sunar. Bunlar, aşağıda açıklanan GAIT matrisi ve GAIT şablonudur (“GAIT şablonu” Sayfa 33’da açıklanmıştır. Öte yandan, benimsediğiniz yaklaşım ne olursa olsun, sonuçları ayrıntılı bir şekilde dokümante etmeli ve böylelikle sonuçları gözden geçiren mantıklı bir kişinin sonuçların arkasındaki mantığı kavramasına olanak vermelisiniz. GAIT matrisi (aşağıda Tablo 6’ya bakınız) metodolojiyi açıklar ve mali açıdan önemli her uygulamaya ilişkin sonuçları dokümante etmenize imkân verir. Matrisin her hücresine, ilgili yığıt yapısının o katmanındaki iş prosesi için kritik işlevlerin risk altında olup olmadığı değerlendirmesini girebilir ve ilgili IT kontrol hedeflerini tanımlayabilirsiniz. Tablo 6: Boş GAIT Matrisi Katman Değişim Yönetimi Aplikasyon Veritabanı İşletim sistemi Ağ altyapısı Operasyonlar Güvenlik GAIT’in uyarlanması GAIT esnek bir metodolojidir. Kullanıcılar GAIT adımlarını kendi terminolojilerine ve IT kontrol çerçevelerine göre uyarlayabilirler. Özellikle, kullanıcılar kendi ITGC proseslerini ve seviyelerini GAIT matrisi yığıtında kendilerine uygun şekilde tanımlayabilirler ve örneğin önceden var olan değişiklik yönetimi, operasyonlar, güvenlik kademelerine kullanıcı erişimi ve öncelikli erişim seçenekleri ekleyebilirler. Yığıt yapısı hakkında daha fazla bilgi için Sayfa 9’da “Prensip 3” başlığı altına bakınız. GAIT değerlendirme ekibinin toplanması Tecrübeler göstermektedir ki, işletme kullanıcıları kullandıkları ekranlarda ve raporlardaki IT işlevlerini her zaman tam manasıyla anlamamakta, öte yandan IT uzmanları ise işletme proseslerini ve bunların nelerden beslendiklerini her zaman tam olarak kavrayamamaktadırlar. Dolayısıyla, GAIT değerlendirmesi hem işletme/ekonomi bilgisi hem de IT bilgisi olan karma bir iç denetim uzmanları ekibi tarafından yapılmalıdır. GAIT; başlangıç aşamalarında işletme ekonomisi uzmanı personel tarafından icra edilen yukarıdan-aşağı ve risk-temelli yaklaşımın bir devamı niteliğine sahiptir. GAIT, iş prosesleri içindeki potansiyel hata ve aksama noktalarının değerlendirilmesi aşamasında tanımlanmış olan ve iş prosesi kilit kontrollerinin (mali tablolardaki esaslı ve önemli hataları önlemeye ve tespit etmeye yönelik kontroller) uygun ve etkin bir şekilde yapılabilmesi için gerek duyulan kritik IT işlevlerinin kavranmasına dayanır. GAIT değerlendirmesi IT altyapısının ve IT proseslerinin daha teknik yönlerine doğru derinleştikçe, IT uzmanlığı daha da kritik hale gelir. Bu uzmanlık kritik IT işlevlerini (kilit otomatik kontroller, kilit raporlar ve diğer işlevler), ilgili ITGC proseslerindeki potansiyel aksama noktalarını ve uygun ITGC kontrol hedeflerini ve kilit kontrolleri anlamak ve tanımlamak için yeterli düzeyde olmalıdır. GAIT değerlendirmesinin sonuçları karma bir ekip tarafından gözden geçirilmeli ve bu sonuçların uygunluğu ve akla yatkınlığı doğrulanmalıdır. GAIT metodolojisi safhaları GAIT metodolojisini uygulamak için, aşağıdaki prosedürde sıralanan safhaları izleyiniz. GAIT metodolojisini uygulamak için Safha 1: Kritik IT işlevlerini tanımlayınız (ve gerekirse valide ediniz). Bakınız sayfa 14. Safha 2: ITGC’nin test edilmesini gerektiren [önemli] aplikasyonları tanımlayınız. Bakınız sayfa 16. Safha 3: ITGC proses risklerini ve bağlantılı kontrol hedeflerini tanımlayınız. Bakınız Sayfa 17. GAIT metodolojisinin can alıcı safhası budur. Safha 4: Kontrol hedeflerinin karşılanması için test edilecek ITGC’yi tanımlayınız. Bakınız Sayfa 25. Safha 5: Sonuçlar, makul ve mantıklı bir kişi tarafından gözden geçirilir. Bakınız Sayfa 28. GAIT metodolojisinin kullanımı ve uygulama senaryoları hakkında daha fazla bilgi için, IIA’ın www.theiia.org adresli internet sitesini tıklayabilirsiniz. Safha 1 Kritik IT işlevini tanımlayınız (ve gerekirse valide ediniz) GAIT metodolojisi, kilit manuel ve otomatik kontrollerin, bunların yanında kritik sistem işlevlerinin tanımlanmasıyla başlar. (Bu ve müteakip safhanın GAIT çerçevesine nasıl yerleştirildiği aşağıda Şekil 2’de gösterilmiştir). İş proseslerinin yukarıdan-aşağı değerlendirilmesi suretiyle bu kilit manuel ve otomatik kontroller tanımlanmış olacaktır. GAIT değerlendirmesine temel oluşturan listenin doğrulanması ve tüm kritik IT işlevlerinin tanımlanmasıyla yukarıdan-aşağı prosese devam edilir. Bu liste, Safha 2’de finansal açıdan önemli olan aplikasyonları tanımlamak için, yani hangi aplikasyonların §404 değerlendirmesi ve testleri “kapsamı içinde” değerlendirileceğini belirlemek için kullanılır. Şekil 2: Safha 1 ve 2 Kilit manuel ve otomatik kontrolleri ve kilit işlevleri gözden geçirmek için 1. 2. Şirketin mali proseslerindeki kilit kontrolleri, kilit raporları ve diğer işlevleri tanımlayınız ve hangilerinin manuel, hangilerinin otomatik olacağını tayin ediniz. Dayanılan kritik IT işlevlerinin listesini oluşturunuz. Bu liste otomatik kontrolleri (aşağıda Basamak 3’e bakınız) ve diğer kritik IT işlevlerini (aşağıda Basamak 4’e bakınız) içerecektir. Otomatik kontroller şunları içerir: 3. 4. Tam otomatik kontroller (örneğin defter-i kebirdeki hesapların denkleştirilmesi veya güncellenmesi.) Manuel kontroller için ihtiyaç duyulan11 ve meydana gelen bir işlev hatasının gözden kaçabileceği aplikasyon işlevleri (Ayrıca Sayfa 37’de “Kilit rapor” bölümüne de bakınız). Bunlar bazen “hibrit kontroller” şeklinde de adlandırılır. Örneğin, çift makbuzları tespit etme amaçlı bir kilit kontrol, bir sistem raporunun gözden geçirilmesini içerebilir. Normalde kontrolün manuel icra edilen bölümünün rapordaki yanlışlıkları tespit etmesi beklenirken, raporun tamlığını ve bütünlüğünü temin etmesi mümkün olmayabilir. Dolayısıyla, bu rapor kapsam itibariyle bir kilit rapor hüviyeti kazanır. Buna mukabil, bir banka mutabakatı söz konusu olduğunda kurumun defter-i kebir tutma sisteminde cari işlemler dengesini, gelirleri ve harcamaları gösteren bir rapor kullanılabilir. Ancak banka mutabakat işlemi kontrolünün normal işleyişi içinde rapordaki bir hata derhal tespit edilecektir. Bundan dolayı, kontrolün otomatik kısmı kilit nitelik taşımayacak, sadece manuel kısmı kilit önemde olacaktır. Kilit otomatik kontrolleri teyit ediniz: Kilit niteliklerini doğrulamak için otomatik kontrolleri gözden geçiriniz 12. Manuel ve otomatik proseslerin içerdiği riskleri ve bunlarla bağlantılı kontrolleri, özellikle bir kontrol listesi yardımıyla veya diğer yukarıdan-aşağı yaklaşımlarla belirleyen farklı ekiplere sahip organizasyonlarda, normalde kilit nitelik taşımayan otomatik kontrollerin, kilitmiş gibi sınıflandırılmış olması mümkündür. Otomatik kontrollerin aksaması halinde bir önemli hatanın gözden kaçma olasılığının en azından makul ölçüde mevcut olup olmadığını değerlendiriniz. Bazen bir otomatik kilit kontrolde meydana gelen bir aksaklığı önemli bir hataya yol açmadan önce tespit eden veya verilerde potansiyel olarak önemli bir hata doğurabilecek bir yetkisiz değişikliği tespit eden manuel kilit kontroller kullanılır. Bu gibi manuel kontrollerin kilit kontrol olarak tanımlandığından emin olabilmeli ve otomatik kontrolleri kilit kontroller listesinden çıkarabilmelisiniz. Kilit kontrol olarak tanımlanmayan aplikasyonlardaki bir hatanın gözden kaçabileceği ve mali tablolarda makul ölçüde bir önemli hata riski doğurabileceği başka kritik IT işlevlerinin olup olmadığını belirleyiniz. Çoğu aplikasyon, mali hareketlerin işlenmesi ve ilgili muhasebe kayıtlarının tutulması için ihtiyaç duyulan hesaplamaları veya başka işlemleri13 yaparlar. Bu işlemler tam anlamıyla kontrol niteliği taşımazlar (Sayfa 35’teki kontrol tanımına bakınız). Ancak bu aplikasyonların işlevinde bir aksama meydana gelmişse, söz konusu işlemlerde, kilit manuel veya otomatik kontrollerde tespit edilemeyen önemli hataların ortaya çıkması mümkündür. Bundan dolayı, bu gibi işlemleri de ilaveten kritik işlev olarak listeye almalı ve bunların tabi olduğu riskleri de hesaba katmalısınız. Bu noktada, finansal önem arz eden her aplikasyonda tüm kritik IT işlevlerinin tanımlanmış olması gerekir. 12.Manuel kontrollerle veya otomatik kontrollerle güvenliği sağlama ve test etme seçenekleri arasında seçim yaparken, bunlarla bağlantılı maliyetleri de hesaba katmanız gerekir. Bazıları otomatik kontrollerin, manuel kontrollerden daha etkili ve daha düşük maliyetli olduğu kanaatindedir. Böyle düşünenlerin öne sürdüğü gerekçe, (nispeten) çok sayıda işlem ve hareket içinden örneklem oluşturarak test edilmeleri gerektiğinden dolayı manuel kontrolleri test etmenin pahalı olması, buna karşılık otomatik kontrolleri sadece bir defa test etmenin yeterli olmasıdır. Ancak otomatik kontrollerde tek bir testle yetinebilmek için, etkin ve verimli bir ITGC uygulamasının mevcut olması şarttır, zira ITGC, otomatik kontrollerin istikrarlı bir şekilde işlevini sürdürmesini güvenceye alır ve bağlantılı olarak tek ögeli bir örneklemle yetinilmesini mümkün kılar. Otomatik kontrollere bel bağlamanın maliyeti, ilgili ITGC genel kontrolleri proses kilit kontrollerinin değerlendirilmesini ve test edilmesini de içerir. Birçok şirketin manuel kontrollerden ziyade otomatik kontrolleri tercih ederek kârlı çıkma ihtimali yüksek olmakla birlikte, bu şirketlerin hangi kontrolleri seçecekleri konusunda, bağlantılı tüm maliyetleri ve riskleri hesaba katarak dikkatli karar vermeleri gerekir. Otomatik kontroller kilit kontrol hüviyetini devam ettirmekle birlikte, otomatik kontrollerle bağlantılı IT genel kontrol proseslerindeki riskler değerlendirildiğinde, manuel kilit kontroller değerli bir tercih haline gelebilir. 13. Bazı IT denetçileri, defter-i kebir hesaplarının güncellenmesi vs. gibi bu hesaplamalar için “programlı prosedürler” veya “programlı muhasebe prosedürleri” terimini kullanırlar. Safha 2 ITGC’nin test edilmesini gerektiren [önemli] aplikasyonları tanımlama Kritik IT işlevleri doğrulandıktan sonra, mali açıdan önem taşıyan aplikasyonların tanımlanması aşamasına geçilebilir. Finansal açıdan önemli aplikasyonlar, potansiyel ITGC riski içeren aplikasyonlardır, zira bunlar kritik IT işlevlerini ve verilerini içerirler (Sayfa 38’te terimce bölümüne bakınız). Finansal hareketlerin işlenmesinde rol oynayan, fakat ne bir kritik IT işlevi, ne de yetkisiz değişiklik (önemli ve fahiş hataya yol açabilecek) riski içeren aplikasyonlar §404 kapsamına girmez; bunlarla ilgili ITGC’lerin test edilmesine gerek yoktur. ITGC’nin test edilmesini gerektiren aplikasyonları tanımlamak için 1. Kritik IT işlevlerini aplikasyona göre sınıflandırınız. Sonuçta oluşan kritik işlevli aplikasyonlar listesi, ITGC proseslerinin içerdiği risklerin değerlendirilmesini gerektiren (sadece bir sonraki basamağa tabi olan), finansal açıdan önemli aplikasyonların listesini oluşturur. Finansal açıdan önem taşıyan aplikasyon tanımı için Sayfa 36’ya bakınız. 2. Kritik IT işlevinden dolayı finansal açıdan önemli görülmeyen uygulamalar için bir ilave basamak daha vardır. Bu basamak, doğrudan aplikasyon verilerinde yapılan yetkisiz bir değişikliğin gözden kaçan bir önemli hataya yol açıp açmayacağının değerlendirilmesidir (Ayrıca Sayfa 7’de “Prensip 1” başlığına bakınız”). Bu basamakta, normal prosesi ve kontrolleri atlatarak (bazen “arka kapıdan erişim” diye adlandırılır) verilerde yapılan değişikliklerin, finansal tablolarda, normal kontrol prosedürleri içinde gözden kaçan önemli bir hataya yol açıp açamayacağı tayin edilir. Eğer bu mümkünse, aplikasyonun, finansal açıdan önemli bir aplikasyon hüviyetiyle GAIT yoluyla değerlendirilmesi gerekir. Değilse, aplikasyon kapsam dışında görülebilir. Zaman zaman hesaplamalarda ve diğer işlevlerde, bir önceki aplikasyonda üretilen verilerin kullanılabileceği akılda tutulmalıdır. Söz konusu verilerde meydana gelen bir değişikliğin gözden kaçan önemli hatalara yol açabileceği durumlarda, sadece verilerin kullanıldığı aplikasyon değil, aynı zamanda başka aplikasyonlar (örneğin, verilerin üretildiği aplikasyonun yanında, verilerin saklandığı, dolayısıyla riske maruz kalan başka herhangi bir aplikasyon) da risk altına girebilir. Tüm bu önceki aplikasyonlarda üretilen verilerde meydana gelen değişiklikler, orada veya başka bir yerde fark edilmediği taktirde, bu aplikasyonların finansal açıdan önemli ve vahim sonuçlar doğurması mümkündür. 3. Sadece finansal önem taşıyan aplikasyonlarla devam edin. Kilit Nokta: Bir aplikasyonda aşağıdakilerden hiçbiri mevcut değilse, bu aplikasyon finansal açıdan önemli değildir ve ITGC’ye bağımlılığı yoktur: a. Kilit otomatik (aplikasyon kontrolleri). b. Kilit raporlar veya diğer karma raporlar (IT işlevlerine, taramalarına, raporlarına vs. bağımlı manuel kontroller). c. Diğer kritik IT işlevleri. d. Verilerin, kilit kontrollerin zaafa uğramasına (aşağı akış yönünde olabilir) veya başka hallerde önemli hatalara yol açabilecek şekilde değiştirilebilmesi (pass-through olsa bile) imkânı. Bu veriler işlem verileri veya referans veriler (örneğin fiyatlar, kredi limitleri vs.) olabilir. Safha 3 tanımlama IT Genel Kotrol Proses (ITGC) risklerini ve bağlantılı kontrol hedeflerini Bu safha başlıca iki aktivite içerir: Her önemli aplikasyon için ilave bilgiler temin etme. Her önemli aplikasyon için ITGC proses risklerini değerlendirme: Bu değerlendirme yığıt yapısının her kademesinde her ITGC prosesi için yapılır. Aşağıdaki şekilde bu safhanın GAIT kapsamında nerede konumladığı gösterilmiştir: Şekil 3: Safha 3 Yukarıdan aşağıya proseslerin iş prosesleriyle ilgili kısmında, finansal bilgilerin işlenmesinde rol oynayan her bir aplikasyonu kapsamlı bir şekilde kavradınız. Bu kapsamda, iş proseslerinde test edilmesi gereken uygun kontrollerin tanımlanması gerekiyordu. Finansal önem taşıyan her bir aplikasyonun risk değerlendirmesini tamamlamak için genellikle birtakım ilave bilgilere ihtiyaç duyulur. Kapsam-içi aplikasyonları ve bunların altyapısını daha kapsamlı kavramak için GAIT değerlendirmesini tamamlamak için ihtiyaç duyulan bilgiler üç geniş kategori altında toplanır: Aplikasyon altyapısı, ilgili ITGC prosesleri ve risk göstergeleri. Tablo 7: Aplikasyon altyapısı ve riskler hakkında ilave bilgiler Kategori Aplikasyon altyapısı Tanım Aplikasyon yığıt yapısının her seviyesindeki riskleri anlamak ve değerlendirmek için yararlanılan tipik elemanlar aşağıda verilmiştir. Aplikasyonları destekleyen altyapı elemanları (örneğin veri tabanları, işletim sistemleri, ağlar ve veri merkezleri). Otomatik kontrollerin aplikasyon koduna kıyasla, ne ölçüde konfigürasyon ayarlarının sonucu olduğuna dair bilgi. Kullanılan veritabanı teknolojisi. Bu teknolojinin doğasının kavranması ve şemalar gibi veritabanı elemanlarında kilit otomatik kontroller için önem arz eden değişikliklerin hangi sıklıkta meydana geldiğinin anlaşılması. İşletim sistemi (örneğin hangi aplikasyon için ne kullanılıyor ve bunlar ne sıklıkta değiştiriliyor). Önemli arayüzler ve bunlar üzerindeki manuel kontroller. Kilit kontroller arasına dahil edilmemişlerse, tanımlanan kilit kontrollerin normal operasyonunda bu manuel kontrollerin verdiği hatalar fark edilemeyecekse ve önemli hatalara yol açmaları muhtemelse, bu kontrolleri de kilit otomatik kontroller listesine eklemeniz gerekebilir. Ağ altyapısı ve onun potansiyel hata noktaları (örneğin aplikasyon ve onun kilit otomatik kontrolleri, ağ içinde görev geçişlerini gerektirebilir ve bu geçiş noktalarında meydana gelebilecek bir ağ hatası veya ağ güvenlik ihlâli makul bir Risk göstergeleri olasılıkla mali tablolarda gözden kaçabilecek önemli bir hataya yol açabilir). Aplikasyon şirket-içinde mi geliştirilmiştir veya dışarıdan mı satın alınmıştır? Aplikasyonun bakımı şirket-içinde mi yapılmaktadır veya dış kaynaklardan bakım hizmeti mi alınmaktadır? Aplikasyonlar ve altyapı nasıl desteklenmektedir: Paylaşılmış hizmetler yoluyla merkezi olarak mı, yoksa coğrafi olarak mı, yoksa ayrı iş birimleri bazında münferiden mi? Veri merkezi operasyonları şirket-içinde mi gerçekleştirilmekte, yoksa bunun için dış kaynaklardan hizmet mi satın alınmaktadır? Hangi ağ ve teknik altyapı operasyonları şirket-içinde yürütülmekte, hangileri dış kaynaklardan temin edilmektedir? IT nasıl organize edilmiştir? Kritik işlevler birbirinden ayrılmış mıdır? Belirli bazı göstergeler IT proseslerinde daha yüksek seviyede bir riske işaret edebilir. Risk değerlendirmesinde bunlar dikkate alınmalıdır: Önceki periyotta § 404 uyarınca yapılan testlerde veya iç denetimlerde hangi kilit kontroller hata verdi ve bunların sayısı kaçtı? Aplikasyon kaç yaşındadır ve hangi sıklıkla modifiye edilmektedir? Verilerde veya bilgi işlem süreçlerinde bilinen problemler var mıdır? Herhangi bir önemli aplikasyon işlevinde bilinen problemler var mıdır? Satın alınan bir aplikasyon ne kapsamda modifiye edilmiş, uyarlanmış ve konfigüre edilmiştir? Yüksek-öncelikli değişim taleplerinin birikimi (backlog) nasıl yönetilmektedir? Bilgi işlem problemleri ne sıklıkta meydana gelmektedir? Acil değişiklikler ne sıklıkla yapılmaktadır? Kilit pozisyonlardaki personel sirkülasyonu ne düzeydedir? Personel ne kadar tecrübelidir ve yeterli eğitimden geçirilmiş midir? GAIT değerlendirmesinin esas nüvesi şimdi tamamlanmış durumdadır. GAIT metodolojisi, finansal önem taşıyan her aplikasyon için, yığıt yapısının her katmandaki IT prosesini alır ve IT proses risklerini ve bağlantılı kontrol hedeflerini tanımlar. İş proseslerine kıyasla, bu düzeyde risk değerlendirmesinin güçlüğü, ITGC proseslerinin mali tablolarla sadece dolaylı yoldan bağlantılı olmasından ileri gelir. GAIT’de, IT proses riski, kritik IT işlevlerinin düzenli icrası konusunda yarattığı risk esas alınarak değerlendirilir. Risk değerlendirmesini etkileyen bir diğer etmen, ITGC proseslerindeki birçok hatanın, genel iş prosesleri kapsamındaki hatalardan ziyade, normal operasyonların bir parçası olarak tespit edilme olasılığının daha yüksek olmasıdır. Örneğin, bir güvenlik zafiyeti varsa ve ağ solucanların ve virüslerin saldırısına uğrarsa, bunun derhal görülmesi ve verdiği zararın asgariye indirilmesi muhtemeldir. Dolayısıyla bir olay meydana gelme olasılığı mevcuttur. Ancak olayın karakteri olayın derhal ve anında tespit edilmesine olanak veriyorsa, kritik işlevselliklerin bu tip olayları derhal tespit edememesi riski çok azdır ve bundan dolayı, bu tür olayların mali tablolarda esaslı ve önemli bir hataya neden olma riski de azdır. Risk değerlendirilirken şu noktalar dikkate alınmalıdır: Bir IT proses hatasının meydana gelme olasılığı ve bunun potansiyel etkileri. Bu değerlendirme birkaç basamaktan oluşur: IT prosesinin, kritik IT işlevselliğini sekteye uğratacak şekilde hata verme olasılığı nedir? Kritik işlevlerin anında tespit edilmeyen bir hata vermesi ve mali raporlarda önemli bir hataya rol açması en azından makul düzeyde olası mıdır? § 404 hedefleri çerçevesinde temel odak noktasını, herhangi bir boyuttaki hatalara değil de, aslen önemli hatalara neden olabilecek (IT işlevselliği üzerindeki etkilerinden ötürü) olan IT proses hataları oluşturur. Meydana gelmesi sadece teorik olarak mümkün olan, ancak pek muhtemel görünmeyen IT proses risklerini değerlendirme kapsamına almak § 404 kapsamını yersiz bir şekilde genişletmek ve verimsizleştirmek anlamına gelir. Hatanın kasıtlı mı (usulsüzlük amacıyla veya başka bir hasardan dolayı) veya dikkatsizlik sonucu mu (kazara) olduğu. Kasti hatalar için (örneğin kasten yetkisiz bir kod ekleme veya verileri yetkisiz olarak değiştirme), gerçekleşmesi sadece en azından makul düzeyde muhtemel olan risklerin § 404 kapsamında değerlendirileceğini aklınızdan çıkarmayın. Bu doküman usulsüzlük riskinin değerlendirilmesi noktasında kılavuz olma iddiası taşımaz, fakat usulsüzlüğü aynen iş prosesinde olduğu gibi değerlendirmenizi önerir. Başka bir deyişle, sadece kasti bir hatanın mümkün olup olmadığını değil, fakat aynı zamanda böyle bir hatanın gerçekleşmesini en azından makul düzeyde olası hale getiren faktörlerin olup olmadığını da (örneğin likit kaynaklara erişim, yöneticileri fiktif işlemler yapmaya teşvik eden unsurlar ve denetim çevresinin değerlendirilmesi sırasında tanımlanan diğer riskler) değerlendirmelisiniz. Bu aşamada GAIT matrisini tamamlamaya başlarsınız14. Ancak GAIT matrisini doldurma adımlarına geçmeden önce (bakınız “Sayfa 23’te ITGC proses hataları riskinin değerlendirilmesi), ITGC proseslerinin her yığıt katmanında nasıl değiştiğini anlamak önemli bir noktadır: “Aplikasyon katmanı IT genel kontrol prosesleri”. Sayfa 20’ye bakınız. “Veritabanı katmanı IT genel kontrol prosesleri”. Sayfa 21’e bakınız. “İşletim sistemi katmanı IT genel kontrol prosesleri”. Sayfa 21’e bakınız. “Ağ altyapısı katmanı IT genel kontrol prosesleri”. Sayfa 22’ye bakınız. Aplikasyon katmanı IT genel kontrol prosesleri Aşağıda Tablo 8’de aplikasyon katmanı ITGC prosesleri ve dikkate alınabilecek riskler açıklanmıştır. Tablo 8: Aplikasyon katmanı IT genel kontrol prosesleri ve tipik riskler IT genel kontrol prosesleri Değişim Yönetimi Operasyonlar Güvenlik Değişim yönetimi aşağıdaki hususların yerine getirilip getirilmediğini dikkate alan bir dizi potansiyel risk alanını kapsar: Yenilenen ve değiştirilen işlevin uygun bir şekilde tasarlanıp onaylanması. Değişikliğin yeterli düzeyde test edilerek, uygun işlerliğinin güvenceye alınması. Kullanıcının değişikliği kabul etmesi ve gerektiği gibi işlev gördüğünü teyit etmesi. Yetkisiz değişikliklerin önlenmesi. Operasyonlar aşağıdaki içeren potansiyel risk alanları kapsar: Aplikasyonların hedeflenen şekilde çalışmalarını güvenceye almaya yönelik kontroller (örneğin gereken sıklıkta çalışmaları, güncel referans dosyalarını kullanmaları ve tüm girdi dosyalarını işleme almaları). Proses hatalarının zamanında çözümlenmesi ve istisnalar. Kritik aplikasyon ve veri dosyalarının yedeklenmesi. Bilgi işlem operasyonlarının fiziki güvenliği. (Not: Geçmişte bilgisayar odasındaki operasyonlar konsoluna erişim büyük risk olarak görülüyordu. Günümüzde kişilerin verileri manipüle etme amacıyla güvenlik duvarını aşma niyetli girişimleri daha ziyade ağ üzerinden gerçekleştiğinden dolayı, bu artık önemli bir risk olarak görülmemektedir). Güvenlik konusu, verilerin ve aplikasyon kodunun maruz kaldığı riski kapsar. Bu IT genel kontrol prosesine, genellikle aplikasyon güvenliği, erişim haklarının tanınması ve geri alınması ve aplikasyon koduna erişim hakları dahil edilir. Not: § 404 değerlendirmesinin ilk yıllarında sık karşılaşılan bir eksiklik, programcıların kodun üretim versiyonuna erişim imkânlarıydı (özellikle Web uygulamaları için). Teorik olarak, programcılar yetkisiz değişiklikler yapabiliyorlardı. Ancak sonradan yapılan analizlerde ve değerlendirmelerde bunun meydana gelme ve (örneğin otomatik kontroller üzerindeki etkiler değerlendirildikten sonra vs.) önemli bir hataya yol açma riskinin düşük olduğu belirlendi. Programcıları yetkisiz değişiklik yapmaya teşvik eden unsurlar pek yoktu (örneğin likit varlıklara erişim gibi) ve önemli bir hatanın tespit edilmeme ihtimali düşüktü. GAIT metodu, potansiyel bir riskin kontrol işlevi test edilmeden önce dikkate alınmasına imkân verir ve bu daha etkili bir yaklaşımdır: Test et ve sonra riskin muhtemel olup olmadığını belirle yaklaşımı yerine riski değerlendir ve sadece muhtemel ise test et yaklaşımı. Veritabanı katmanı IT genel kontrol prosesleri Genel olarak, aplikasyon ve veritabanında ne kadar az risk tanımlanırsa, yığıt yapısının alt basamaklarında riskle karşılaşma ihtimali o denli azalacaktır. Örneğin, işletim sistemi veya ağ altyapısı katmanındaki değişim yönetimi kusurlarının bir otomatik kontrolün işlevselliğini sekteye uğratması teorik olarak mümkün olmakla birlikte, bunun otomatik kontrol işlevini çökertecek ve önemli bir hataya yol açacak raddede gerçekleşmesi ihtimali genellikle pek yoktur. Aşağıda Tablo 9’da veritabanı katmanı ITGC prosesleri açıklanmıştır. Tablo 9: Veritabanı katmanı IT genel kontrol prosesleri ve tipik riskler IT genel kontrol prosesleri Değişim Yönetimi Operasyonlar Güvenlik Tanım Bu katmandaki değişim yönetimi, şemalar gibi veri-dışı elemanların değişmesi riskini hesaba katar. Veritabanı yazılımının verileri aplikasyona sunuş şeklinde yapılan ve göz ardı edilen hatalı değişiklikler, eksik veya hatalı hesaplamalara ve raporlara yol açabilir. Bu katmandaki operasyon riskleri genellikle aplikasyon katmanındaki operasyonlar için tanımlanan kontrollerin aynılarıyla ele alınır. Verilere yetkisiz erişim sorununun doğrudan üzerine gidildiği nokta burasıdır. Geleneksel olarak verilerin güvenliği ITGC kapsamında ele alınması gereken en kritik alanlardan biri olup, bu noktada, güvenlik risklerini tanımlamak ve en azından makul bir ölçüde meydana gelme olasılığı bulunan ve (kritik IT işlevleri üzerindeki etkilerinden dolayı doğrudan veya dolaylı olarak) gözden kaçan önemli bir hataya yol açma olasılığı taşıyan risklere odaklanmak için kendi yargı gücünüzü ve kilit manuel kontroller de dahil işletme prosesinin bütünü hakkındaki bilgilerinizi kullanmaya teşvik edilirsiniz. İşletim sistemi katmanı IT genel kontrol prosesleri İşletim sistemi katmanındaki kusur ve hataların önemli hatalara (verilerde yapılan yetkisiz değişiklikler yoluyla doğrudan veya kritik IT işlevlerinin uygun operasyonu üzerindeki etkileri yoluyla dolaylı olarak) yol açmaları pek muhtemel değildir, zira bunların etkileri gerek üretim fireleri, gerekse prosesleme hataları formunda olmak üzere genelde derhal fark edilir. Ancak birçok organizasyon ve onların denetçileri, işletim sistemi üzerindeki kontrolleri, sanki bunlarda meydana gelen zaaflar otomatik kontrolleri olumsuz etkileyecekmişçesine gerçek bir risk olarak dokümante etme ve test etme yoluna gitmişlerdir. § 404 kapsamında uygun alanlara odaklanmayı sağlamak için bu düzeydeki riskleri kendi yargı gücünüzü ve teknoloji ve kilit kontroller (sadece ITGC proseslerindekiler değil, fakat aynı zamanda, yüksek seviyede denetleyici (monitör) kontrolleri içeren iş prosesi kontrolleri) hakkındaki engin kavrayışınızı ve bilgilerinizi kullanarak değerlendirmelisiniz. Aşağıda Tablo 10’da işletim sistemi katmanı IT genel kontrol prosesleri açıklanmıştır. Tablo 10: İşletim sistemi katmanı IT genel kontrol prosesleri ve tipik riskler IT genel kontrol prosesleri Değişim Yönetimi Operasyonlar Güvenlik Tanım Bu katmadaki değişim yönetimi, işletim sistemi ortamında yapılan yamalama gibi değişikliklerin taşıdığı riskleri dikkate alır. Bu katmandaki operasyon risklerinin üzerine genellikle aplikasyon katmanında operasyonlar için tanımlanan kontrollerin aynılarıyla gidilir. İşletim sistemine yetkisiz erişim sorununun ele alındığı bölüm burasıdır. Bu noktada, güvenlik risklerini tanımlamak ve en azından makul ölçüde meydana gelme olasılığı bulunan ve (kritik IT işlevleri üzerindeki etkileriyle dolaylı olarak veya doğrudan verilerde yapılan yetkisiz değişikliklerin sonucu olarak) gözden kaçan bir önemli hataya yol açma olasılığı taşıyan risklere odaklanmak için kendi muhakemenizi ve kilit manuel kontroller de dahil işletme prosesinin bütünü hakkındaki bilgilerinizi kullanmaya teşvik edilirsiniz. Genellikle işletme sistemi katmanındaki riskler çok nadiren “kök” seviyesine ve diğer imtiyazlı erişim yollarına kadar uzanır. Ağ altyapısı katmanı IT genel kontrol prosesleri Genellikle, işletmeler bu katmanda daha az riskle karşı karşıyadırlar. Bu katmanda karşılaşılan meseleler daha az doğrudan sonuç doğurur ve dolayısıyla kilit kontrollerin işlevselliğini kaybetmesine veya mali raporlarda önemli bir hataya neden olabilecek veri değişikliklerine yol açma ihtimali daha düşüktür. Diğer katmanlarda yapılan risk değerlendirmesinde kazanılan bilgiler bu katmandaki risk değerlendirmesine yardımcı olur. Bu katmanda uygun bir kapsam çıkarmak için aplikasyonun teknik altyapısının iyi kavranması (Safha 2’de bu kavrayışa ulaşılır), iş prosesinde ve yüksek seviye izleme proseslerinde başvurulan kontrollerin güçlü yanlarının değerlendirilebilmesi gerekir. ITGC proseslerinde kilit kontrollere odaklanabilmek için GAIT’de risklerin mümkün mertebe spesifik bir şekilde tanımlanması önerilir. Örneğin, üst düzey karmaşık bir aplikasyonda ağ üzerinden kredi kartı ödemelerinin alındığını ve onaylandığını varsayalım. Bu durumda yapılması gereken testleri sınırlandırmak için ağdaki potansiyel hata noktalarını tanımlamanız gerekir. ITGC proses hatası riskini değerlendirmek için 1. Finansal önem taşıyan her aplikasyon için, IT altyapısının her katmanındaki spesifik ITGC proses risklerini ve ilgili kontrol hedeflerini tanımlayınız. Kısacası, GAIT matrisindeki her hücrenin üzerinden geçiniz ve aşağıda Tablo 11’de listelenen uygun soruları yanıtlayınız. Buradaki her soru önemli hata riskine odaklanır. Yukarıda tartışıldığı gibi, ITGC proses riskleri mali raporlarda doğrudan önemli bir hataya yol açmaz. Bunlar, kilit otomatik kontrollerin ve diğer kritik IT işlevlerinin (örneğin kilit raporlar) gerektiği gibi istikrarlı çalışmayacak şekilde hata vermesine yol açabilir ve bu da mali raporlardaki önemli bir hatayı önleme veya tespit etme noktasında zafiyete neden olabilir. 2. Sonuçları GAIT matrisine (Sayfa 29’daki örnek GAIT matrisine bakınız) veya GAIT şablonuna (Sayfa 33’deki GAIT şablonuna bakınız) kaydediniz. Tam bir değerlendirme için gerekirse COBIT gibi destekleyici ve tamamlayıcı araçlar kullanınız. Tablo 11: GAIT matrisindeki her hücre için sorulacak sorular Katman Aplikasyon Değişim Yönetimi Değişim yönetimindeki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Operasyonlar Operasyonlardaki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Güvenlik Güvenlikteki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Başka bir ifadeyle, bir güvenlik hatasının herhangi bir aplikasyondaki (örneğin taramalı tablolar) verilerin yetkisiz bir şekilde değiştirilmesine yol açması ve neticede mali tablolarda tespit edilemeyen önemli bir hataya neden olması en azından makul ölçüde olası mıdır? Olası değilse, değişim Olası değilse, yönetiminde bu operasyonlarda bu aplikasyona ilişkin aplikasyonun koduna ilişkin kontroller kontroller kapsam kapsam dışında dışındadır. bırakılır. Kanaatimizce bu pek olası değildir. Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Veritabanı Değişim yönetimindeki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Operasyonlardaki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Olası ise, riskleri ve bağlantılı kontrol Olası ise, riskleri ve bağlantılı kontrol Olası değilse, güvenlik alanında bu aplikasyona ilişkin kontroller kapsam dışındadır. Güvenlikteki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Başka bir ifadeyle, bir güvenlik hatasının hedeflerini tanımlayınız. Olası değilse, değişim yönetiminde bu aplikasyonun veritabanına ilişkin kontroller kapsam dışındadır. hedeflerini tanımlayınız. Olası değilse, operasyonlarda bu aplikasyonun veritabanına ilişkin kontroller kapsam dışındadır. verilerin veya diğer unsurların (örneğin şemalar) yetkisiz bir şekilde değiştirilmesine yol açması ve neticede mali tablolarda tespit edilemeyen önemli bir hataya neden olması en azından makul ölçüde olası mıdır? Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. İşletim sistemi Ağ altyapısı Olası değilse, güvenlik alanında bu aplikasyonun veritabanına ilişkin kontroller kapsam dışındadır. Güvenlikteki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Değişim yönetimindeki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Operasyonlardaki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul düzeyde olası mıdır? Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Olası değilse, değişim yönetiminde bu aplikasyonun işletim sistemine ilişkin kontroller kapsam dışındadır. Değişim yönetimindeki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en Olası değilse, operasyonlarda bu aplikasyonun işletim sistemine ilişkin kontroller kapsam dışındadır. Operasyonlardaki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından makul Olası değilse, güvenlik alanında bu aplikasyonun işletim sistemine ilişkin kontroller kapsam dışındadır. Güvenlikteki bir hatanın kritik işlevlerin birini veya birden fazlasını etkisiz kılması ve tespit edilemeyen önemli bir hataya yol açması en azından Safha 4 azından makul düzeyde olası mıdır? düzeyde olası mıdır? makul düzeyde olası mıdır? Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Olası ise, riskleri ve bağlantılı kontrol hedeflerini tanımlayınız. Olası değilse, değişim yönetiminde bu aplikasyonun ağ altyapısına ilişkin kontroller kapsam dışındadır. Olası değilse, operasyonlarda bu aplikasyonun ağ altyapısına ilişkin kontroller kapsam dışındadır. Olası değilse, güvenlik alanında bu aplikasyonun ağ altyapısına ilişkin kontroller kapsam dışındadır. Kontrol hedeflerinin karşılanması için test edilecek kilit ITGC’leri tanımlayınız Tüm riskler ve bağlantılı IT kontrol hedefleri tanımlandıktan sonra, bu hedefleri karşılamak için ITGC kapsamında başvurulacak spesifik kilit kontroller belirlenebilir. Bu noktada COBIT gibi çerçeveler önemli ölçüde yardımcı olabilir. GAIT metodolojisi §404 prosesinde hemen sonra gelen bu adımı kapsamaz. Bu konuda tek tavsiyemiz, her ITGC kilit kontrolünün GAIT yoluyla tanımlanan IT kontrol hedefleriyle ve dolayısıyla risk altındaki kritik IT işlevinin nizami operasyonuyla spesifik olarak ilişkilendirilmesidir. Bu bölümde aşağıdaki konular hakkında bilgi verilmiştir: “ITGC’nin yaygınlığını değerlendirme”. Aşağıya bakınız. “Test için kilit kontrollerin seçilmesi”. Sayfa 26’ya bakınız. ITGC’nin yaygınlığının değerlendirilmesi ITGC’nin genel olarak geniş bir alanı etkilediği düşünülür, çünkü ITGC proseslerindeki kontroller birden çok otomatik kontrolü etkilemeye meyillidir ve birçoğu birden çok aplikasyonu etkiler. Bu aşamaya kadar metodoloji, çoğu organizasyon için, risk değerlendirmesinin birden çok aplikasyon için yapıldığı durumda eşdeğer riskleri tanımlar. Finansal önem arz eden birden çok aplikasyonda kritik IT işlevlerinin maruz kaldığı risklerin tek bir ITGC prosesindeki hatadan etkilenebileceği durumlarda toplam riski tanımlamaz. Başka bir deyişle, kritik işlevlerdeki potansiyel hatalar bir araya geldiğinde, gerçekleşmesi makul ölçüde muhtemel olan önemli bir hata riskine yol açmaları mümkündür. Tek bir ITGC proses kontrolündeki küçük bir hata kritik IT işlevlerini veya finansal önem taşıyan başka uygulamalardaki birden çok veritabanını etkileyebilir. Tek başına bunların hiçbiri yüksek bir risk altında olmasa da, ITGC proses hatasının kümülatif etkisi toplamda yüksek bir riske mal olabilir. GAIT, önceki safhaların sonuçlarını kullanarak ayrı bir değerlendirme sürecini yürütmenizde size kılavuzluk yapar. Bu ayrı değerlendirmede, tek bir ITGC prosesinin veya riskin birden çok aplikasyonu etkileyip etkilemediği ve hepsi bir araya geldiğinde önemli bir hataya yol açabilme ihtimali en azından makul ölçüde mevcut olan birden çok kilit kontrol hatasına neden olmasının en azından makul ölçüde mümkün olup olmadığı test edilir. Bu gibi durumlarda, ITGC proseslerindeki kilit kontrollerin tanımlanmasını gerektiren aplikasyonların tabi oldukları riskler toplanır. ITGC’nin yaygınlığını değerlendirmek için Aşağıda Tablo 12’de listelenen soruların üzerinde düşününüz. Tablo 12: Yaygınlık değerlendirmesi Her soru için…. Şunları değerlendirin… Aplikasyonlarla ilgili olarak; değişim Cevap “hayır” ise, söz konusu IT prosesi, yönetimi, operasyonlar veya güvenlik aplikasyona ilişkin yığıt yapısının bu alanında birden çok aplikasyonu ve katmanı için kapsam dahilinde değildir. onların kritik IT işlevlerini en azından makul ölçüde etkileme ihtimali olan Cevap “evet” ise, riskleri tanımlayınız. Bu riskler var mı? riskleri ortadan kaldırmaya yönelik IT kontrol hedeflerinin tanımlanması genel Veritabanlarıyla ilgili olarak; değişim kabul görmüş bir IT denetim yönetimi, operasyonlar veya güvenlik uygulamasıdır (Sayfa 9’da “Prensip 4”e alanında birden çok aplikasyonu ve bakınız). Yapılan değerlendirmenin ve onların kritik IT işlevlerini en azından ilgili IT kontrol hedeflerinin gerekçelerini makul ölçüde etkileme ihtimali olan dokümante ediniz. riskler var mı? İşletim sistemleriyle ilgili olarak; değişim yönetimi, operasyonlar veya güvenlik alanında birden çok aplikasyonu ve onların kritik IT işlevlerini en azından makul ölçüde etkileme ihtimali olan riskler var mı? Ağ altyapısıyla ilgili olarak; değişim yönetimi, operasyonlar veya güvenlik alanında birden çok aplikasyonu ve onların kritik IT işlevlerini en azından makul ölçüde etkileme ihtimali olan riskler var mı? IT ortamının bütünüyle ilgili olarak; yığıt yapısının farklı katmanlarında birden çok aplikasyonu etkileme potansiyeli taşıyan riskler mevcut mu? Örneğin, aynı güvenlik açığının söz konusu olduğu bir durumda, bunun, hem aplikasyon kodunda hem de verilerde gözden kaçan önemli bir hatanın meydana gelmesini uzak bir ihtimal olmaktan çıkaracak şekilde bir yetkisiz veriye yol açması en azından makul ölçüde mümkün müdür? Test için kilit kontrollerin seçilmesi GAIT, ITGC proseslerindeki kilit kontrollerin §404 kapsamına dahil edilmesini gerektiren risklerin ve bağlantılı ITGC kontrol hedeflerinin tanımlanmasına yönelik bir metodoloji sağlar. Ancak aşağıdaki hususlar ele alınmadan kilit ITGC’lerin tam olarak değerlendirildiği söylenemez: Test için kilit kontrolleri seçmek için Aşağıda Tablo 13’te listelenen sorunları ele alınız: Tablo 13: Kilit ITGC’lerin tanımlanması Konu Açıklama Manuel kontrollere Başvurulacak koruyucu ve teşhis edici kontrollerin uygun bileşimini başvurma belirlemek için var olan tüm kontrolleri kapsamlı bir şekilde gözden geçirin. Birçok organizasyon, önemli bir hatayı sunulan mali raporlara girmeden önce büyük olasılıkla teşhis eden kuvvetli izleme prosedürlerine ve başka kontrol prosedürlerine sahiptir. Hangi kontrollerin kilit olarak nitelendirileceğine ve hangilerine başvurulacağına karar verirken, kilit kontroller kapsamına tedbir olarak daha fazla sayıda ayrıntılı kontrolün eklenip eklenmeyeceğini ya da daha yüksek seviyeli kontrollere mi başvurulacağını belirleyin. Karşılaştırma (Benchmarking) Önemli bir hataya yol açabilecek bir otomatik kontrol prosedürü kusurunu tespit etmek için periyodik validasyon kontrolleri (örneğin stokların veya diğer varlıkların fiziksel envanterleri) yeterli olabilir. Kıyaslama kilit otomatik kontrollerin ve diğer kritik IT işlevlerinin (örneğin kilit raporlar) testlerini sınırlandırır ve şu noktalara uygulanır: Genellikle aplikasyon katmanında yapılan değişim yönetimi kontrollerinin güçlü olduğu durumlarda. Kıyaslama, her bir kilit otomatik kontrolün her sene test edilmesi yerine, bu kontroller ile otomatik kontrollerde önceki dönemlerde yapılan testlerin bir kombinasyonuna dayanarak çalışma imkânı verir. Tüm otomatik kontrollerin başarıyla test edilmesi durumunda, aplikasyonun önceki yıla göre değişiklik göstermediği hallerde. Örneğin SAP programındaki denetim geçmişi gözden geçirilir ve herhangi bir değişikliğin yapılmadığı doğrulanırsa, otomatik kontrolü test etmeye gerek yoktur ve aplikasyon katmanında ITGC değişim yönetimi için herhangi bir risk söz konusu değildir. Otomatik kontrollerde kapsamlı testler Yıl boyunca etkili olan ITGC’ler otomatik kontrollerde yapılacak olan testleri tek bir örnekle sınırlandırabilmekle birlikte, bir aplikasyonda sadece birkaç tane otomatik kontrol varsa, ITGC’ye bel bağlamamak daha verimli bir yol olabilir. Az sayıda otomatik kontrolün var olduğu durumda, bunların etkin bir şekilde işlediklerinden emin olmak için ITGC kontrollerine bel bağlamak yerine, bunların örneğin her yıl çeyreğinin sonunda olmak üzere daha sık kontrol edilmeleri mümkündür. Bu yaklaşımı seçtiğiniz takdirde, kontrol operasyonu frekansını temel alan örneklem metodolojilerini kullanarak kilit otomatik kontrolleri test ediniz. Örneğin bir kilit rapor aylık olarak kullanılıyorsa, raporun tamlığını ve doğruluğunu test etmek için kullanılacak örneklem büyüklüğü bu frekans bilgisini temel almalıdır. Bu yaklaşımda karar kılmadan önce, aplikasyonun maruz kaldığı tüm riskleri anlamak için GAIT’i kullanmak suretiyle mutlaka tam bir değerlendirme yapın. Örneğin kapsamlı testler, veritabanında, işletim sisteminde veya ağ altyapısında varolan riskleri kapsamıyor olabilir. Safha 5 Makul ve mantıklı kişi değerlendirmesi yapın Sıkı bir ITGC proses riski değerlendirmesi, önceki değerlendirmelere nazaran, daha az sayıda ITGC’yi gerektiren daha az sayıda riskin tanımlanmasıyla sonuçlanabilir. Bunun muhtemel nedeni, kapsama dahil edilmeyen diğer risklerin, kritik işlevlerde muhtemelen önemli bir hatayla sonuçlanabilecek bir tespit edilmemiş hataya yol açmalarının makul ölçüde mümkün olmadığının değerlendirilmesidir. Bu durum IT’nin hiçbir kontrole tabi olmadığı anlamına gelmeyip, sadece bu kontrollerin § 404 testleri için risk-bazlı bir perspektiften bakıldığında kapsam dahiline alınmayabileceklerini gösterir. Riskleri değerlendirmek için: 1. Risklerin ve kilit kontrollerin, mali tabloların tabi olduğu riskin bağımsız ve basiretli bir görevlinin gözüyle makul bir şekilde idrak edilmesine imkân verdiğini doğrulayın. 2. § 404 kapsamında organizasyonun risk toleransı göz önünde bulundurulduğunda, risk seçiminin makul ve mantıklı yapıldığından emin olun. Başka bir deyişle, benimsenen yaklaşım, muhafazakâr bir yaklaşım mıdır, yoksa agresif bir yaklaşım mıdır? Ekler Bu bölümde aşağıdakileri kapsayan destekleyici bilgiler verilmektedir: “Örnek GAIT matrisi”. Aşağıya bakınız. “GAIT şablonu”. Sayfa 33’e bakınız. “Aşağıdan-yukarıya risk değerlendirmelerinin kullanılması”. Sayfa 36’e bakınız. “Terimce”. Sayfa 38’e bakınız. Örnek GAIT matrisi Aşağıda Tablo 14’te kısmen tamamlanmış bir GAIT matrisi açıklayıcı notlarla birlikte verilmiştir. Tablo 14: Kısmen tamamlanmış GAIT matrisi Katman Aplikasyon Değişim Yönetimi Evet Aplikasyon, aplikasyon kodu seviyesinde değişim yönetimi hatalarının meydana gelmesi halinde istikrarlı bir işlevselliğinin olumsuz etkilenmesi en azından makul bir ölçüde muhtemel olan birçok kilit otomatik kontrol ve diğer kritik işlevler (kilit raporlar, hesaplamalar ve defter-i kebirin güncellenmesi gibi) içermektedir. Ele alınması kontrol hedefleri şunları içerir: Tüm program değişiklikleri uygulamaya alınmadan önce hem UT hem de kullanıcı yönetimi bölümlerince onaylanır. Program değişiklikleri uygun bir şekilde test edilir ve uygulamaya alınmadan önce test sonuçları onaylanır. Operasyonlar Evet Aplikasyon bu prosesteki kontrollere bağımlı olan bir dizi toplu arayüz işi içerir. Kontrol hedefleri şunları içerir: Toplu işler izlenerek, normal olarak tamamlanmaları temin edilir; proseste karşılaşılan tüm olaylar rapor edilir ve uygun düzeltici adımlar atılır. Toplu işler bir otomatize programa dahil edilerek, gerektiği şekilde yerine getirilmeleri güvenceye alınır. Güvenlik Evet Aplikasyon işlemlerin belirli kişilerle ve işlevlerle sınırlandırılmasıyla ilgili otomatik kontroller içerdiğinden dolayı, kullanıcı erişim kontrolleri uygulanır. İlgili kontrol hedefleri şunları içerir: Erişim, her kullanıcının sorumluluklarına paralel belirli iş rolleri temelinde kısıtlanır. Erişim yetkisi verilen çalışanlar ve üstleniciler, iş akitleri biter bitmez derhal yetkilendirme listesinden çıkarılırlar. Sadece yetkili kişilerin imtiyazlı erişim hakkına sahip olduklarından emin olmak için periyodik değerlendirmeler yapılır. Veritabanı İşletim sistemi Ağ altyapısı Değerlendirme tamamlanmadı Hayır İşletim sistemine yapılan acil yamalar gibi değişikliklerin, kritik IT işlevlerini çökmelerine neden olacak raddede etkilemesi pek olası görülmez. Özellikle, yerinde olmayan değişiklikler veya yeterince test edilmeden yapılan değişiklikler aplikasyonun bütününü çökerteceğinden dolayı hemen fark edilirler. Değerlendirme tamamlanmadı. GAIT şablonu GAIT şablonu, GAIT değerlendirmesinin sonuçlarını dokümante etmek için GAIT matrisine (Sayfa 29’a bakınız) alternatif olarak kullanılabilecek bir araçtır. Tablo 15: GAIT şablonu Aplikasyon: (Aplikasyonun adı) İşletme prosesleri: Değerlendirmeyi yapan kişi ve değerlendirme tarihi: Kontrol eden ve onaylayan: Aplikasyon değerlendirmesi: (Genel olarak, aplikasyonun kısa bir tanımını yapın ve bu kapsamda aplikasyonun dışarıdan satın alınan bir ürün mü yoksa şirket-içinde geliştirilen bir ürün mü olduğunu, yaşını, modifikasyon sıklığını, kritik arayüzlerini, işletim sistemini ve veritabanı teknolojisini, nerede barındırıldığını ve değerlendirme için önem taşıyan diğer bilgileri belirtin.) Kritik IT işlevleri: (Her kritik IT işlevine ilişkin tam metni ekleyin.) Kilit otomatik kontroller: Aplikasyonun işlevselliğine bağımlı kilit manüel kontroller: (Bunlar aplikasyonun işlevselliğine bağımlı olan manüel kontroller olup, aplikasyonun işlevinde meydana gelen bir arıza manüel kontrolün normal işleyişi içinde tespit edilemez ve önemli bir hataya yol açabilir (örneğin kilit raporlarda). Risk altındaki işlevi açık bir şekilde vurgulayınız.) Diğer kritik IT işlevleri: (Otomatik kontrol olarak değerlendirilmeye alınmayan, fakat olası bir hatanın tespit edilmeden gözden kaçabileceği ve önemli bir hataya yol açabileceği IT işlevlerini açıklayınız.) Önemli manüel kilit kontroller: (Seçime bağlı bu bölümde, değerlendirme açısından önem arz eden manüel kilit kontrollerin tümünü listeleyiniz. Otomatik kontrollerin ITGC’deki kusur ve arızalardan kaynaklı maruz kaldığı riskin değerlendirilmesi için bu kontrollerin dikkate alınması yararlı olacaktır. Örneğin bu kontroller, güvenlik kusurlarından kaynaklanan riskin değerlendirilmesine yardımcı olabilir.) Önemli manüel kilit kontroller: Değişim yönetimindeki bir hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, aplikasyon kodu için değişim yönetimi risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, değişim yönetiminde bu aplikasyonun koduyla ilgili kontroller kapsam dahilinde değildir. Operasyonlardaki bir hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, aplikasyon kodu için operasyon risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, operasyonlarda bu aplikasyonun koduyla ilgili kontroller kapsam dahilinde değildir. Bir güvenlik hatasının kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Başka bir deyişle, güvenlik prosesindeki bir hatanın herhangi bir aplikasyondaki (örneğin taramalı tablolar) verilerin yetkisiz bir şekilde değiştirilmesine yol açması ve neticede mali tablolarda tespit edilemeyen önemli bir hataya neden olması en azından makul ölçüde olası mıdır? Olası ise, aplikasyon kodu için var olan güvenlik risklerini ve kontrol hedeflerini tanımlayın. Olası değilse, bu aplikasyonun koduyla ilgili güvenlik kontrolleri kapsam dahilinde değildir. Yığıt yapısının veritabanı katmanında değerlendirme: Değişim yönetimindeki bir hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, veritabanı elemanları için değişim yönetimi risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, değişim yönetiminde bu aplikasyonun veritabanıyla ilgili kontroller kapsam dahilinde değildir. Operasyonlardaki hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, veritabanı elemanları için operasyon risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, operasyonlarda bu aplikasyonun veritabanıyla ilgili kontroller kapsam dahilinde değildir. Bir güvenlik hatasının kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Başka bir deyişle, güvenlik prosesindeki bir hatanın verilerde veya diğer elemanlarda (şemalar gibi) yetkisiz değişikliklere yol açması ve neticede mali tablolarda tespit edilemeyen önemli bir hataya neden olması en azından makul ölçüde olası mıdır? Olası ise, veritabanı elemanları için önemli bir hataya yol açabilecek güvenlik risklerini ve kontrol hedeflerini tanımlayın. Olası değilse, bu aplikasyonun veritabanıyla ilgili güvenlik kontrolleri kapsam dahilinde değildir. Yığıt yapısının işletim sistemi katmanında değerlendirme: Değişim yönetimindeki bir hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, işletim sistemi için değişim yönetimi risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, değişim yönetiminde bu aplikasyonun işletim sistemiyle ilgili kontroller kapsam dahilinde değildir. Operasyonlardaki hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, işletim sistemi için operasyon risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, operasyonlarda bu aplikasyonun işletim sistemiyle ilgili kontroller kapsam dahilinde değildir. Bir güvenlik hatasının kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, işletim sistemi için güvenlik risklerini ve kontrol hedeflerini tanımlayın. Olası değilse, bu aplikasyonun işletim sistemiyle ilgili güvenlik kontrolleri kapsam dahilinde değildir. Yığıt yapısının ağ altyapısı katmanında değerlendirme: Değişim yönetimindeki bir hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, ağ altyapısı için değişim yönetimi risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, değişim yönetiminde bu aplikasyonun ağ altyapısıyla ilgili kontroller kapsam dahilinde değildir. Operasyonlardaki hatanın kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, ağ altyapısı için operasyon risklerini ve ilgili kontrol hedeflerini tanımlayın. Olası değilse, operasyonlarda bu aplikasyonun ağ altyapısıyla ilgili kontroller kapsam dahilinde değildir. Bir güvenlik hatasının kritik IT işlevlerinin muntazam işleyişini, bunlardan birini veya birden çoğunu etkisiz kılacak ölçüde ve (dolaylı olarak) tespit edilemeyen önemli bir hataya yol açacak şekilde etkilemesi en azından makul ölçüde olası mıdır? Olası ise, ağ altyapısı için güvenlik risklerini ve kontrol hedeflerini tanımlayın. Olası değilse, bu aplikasyonun ağ altyapısıyla ilgili güvenlik kontrolleri kapsam dahilinde değildir. Diğer yaygın ITGC risklerinin hesaba katılması ITGC’de kilit kontrollerin tanımlanması (Tanımlanan ITGC proses risklerini ve bağlantılı kontrol hedeflerini özetleyiniz ve her biri için ITGC’deki hangi kilit kontrolün §404 kapsamına dahil edilmesi gerektiğini belirleyiniz. Aşağıdan-yukarıya risk değerlendirmelerinin kullanılması GAIT, yukarıdan-aşağı ve risk-bazlı bir yaklaşım kullanır. Ancak aşağıdan-yukarıya bir yaklaşım kullanıldığında ITGC proses riski ortaya çıkabilir. Örneğin bir mali denetçi, müşavir ve IT müdürü, belirli bir riskin önemli olduğunu gösteren bir makaleye veya kontrol listesine referans yapabilir ve bunun neden ITGC listesine dahil edilmediğini sorgulayabilir. Bu şekilde gündeme getirilen (yukarıdan-aşağı yerine aşağıdan-yukarıya) bir sorun GAIT yöntemine başvurularak değerlendirildiğinde, muhtemel bir önemli hata riski içermesi mümkün değildir. Aşağıdan-yukarıya risk değerlendirmesinin kullanılması 1. Sorunun potansiyel olarak etkilediği aplikasyonları belirleyiniz. Örneğin sorun yönelticinin (router) tasarımıysa, bu durumda potansiyel olarak etkilenen aplikasyonları tanımlayın. Sorun veritabanı yöneticisinin verilere erişimi ise, bu veritabanını kullanan aplikasyonları tespit edin. 2. Bu şekilde belirlenen her aplikasyon için, hakkındaki risk değerlendirmesini gözden geçirin: Bu aplikasyonda kritik IT işlevi var mıdır? Sorun, verilerin yetkisiz bir şekilde değiştirilmesine yol açan ve neticede (dolaylı olarak) tespit edilemeyen önemli bir hatayla sonuçlanma riski taşıyan bir sorun mudur? Veyahut manüel ve otomatik kontroller kombinasyonu, sorundan kaynaklanan riski, önemli bir hatanın en azından makul ölçüde muhtemel olduğu bir seviyenin altına düşürmekte midir? Risk değerlendirmesi yığıt yapısında potansiyel olarak etkilenen katmanı ve bununla ilgili ITGC prosesini uygun bir şekilde değerlendirmekte midir? Bu söz konusu değilse, değerlendirmeyi gereken şekilde güncelleyiniz. 3. İlave riskler: tanımlanmamışsa, sorunun kümülatif bazlı bir risk olarak dikkate alınıp alınamayabileceğini düşünün. Gözden geçirmede, tek başlarına potansiyel risk taşımayan, fakat üst üste geldiklerinde en azından makul ölçüde muhtemel bir önemli hatayla sonuçlanabilecek olan potansiyel riskler tanımlanmış mıdır? tanımlanmışsa, §404 kapsamına ilave ITGC kilit kontrollerinin ilave edilip edilmemesi gerektiğini belirleyin. Tanımlar Aşağıda Tablo 16’da bu dokümanda kullanılan terimlerin tanımları verilmiştir. Tablo 16: Terimce Terim Aplikasyon kontrolü Tanım “Aplikasyon seviyesindeki riskleri ele almaya yönelik aplikasyon kontrolleri sisteme bütünleşik bilgisayarlı kontroller, manuel icra edilen kontroller veya bunların bir kombinasyonu formunda olabilir. Örnek olarak dokümanların bilgisayarlı eşleştirilmesi (satınalma emri, fatura ve mal alındı raporu), bilgisayarda hazırlanan bir çekin kontrolü ve imzalanması ve üst kademe yöneticilerin istisnai raporları kontrol etmeleri.” ISACA, Aplikasyon Sistemi İncelemesi, doküman G14. Değişim yönetimi ve ilk geliştirme Aplikasyonları, işletim sistemlerini ve geliştirme, uygulama ve sürdürme prosesi. veritabanı elemanlarını COBIT Bilişim ve bağlantılı teknolojiler için kontrol hedefleri (COBIT), IT yönetiminde kullanılan bir çerçeve olup, Bilişim Sistemleri Denetim ve Kontrol Topluluğu (ISACA) ve IT Yönetişim Enstitüsü (ITGI) tarafından 1992 yılında oluşturulmuş ve 2006’da güncellenmiştir. Kontrol İşletme hedeflerine ulaşılacağına ve istenmeyen hadiselerin önleneceğine veya tespit edilip düzeltileceğine dair makul bir güvence vermek üzere tasarlanmış politikalar, prosedürler, uygulamalar ve organizasyonel yapılar. (COBIT) COSO Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi (COSO), 1985’de kurulan bir ABD özel-sektör inisiyatifidir. Temel amacı, finansal raporlama uygulamalarında usulsüzlüğe yol açan etmenleri belirlemek ve bunların meydana gelme sıklığını azaltmak için tavsiyelerde bulunmaktır. COSO; iç denetimler, standartlar ve şirketlerin ve organizasyonların kontrol sistemlerini değerlendirmede baz alacağı kriterler için müşterek bir tanım geliştirmiştir. Kritik IT işlevleri Safha 2, Sayfa 16’da açıklandığı üzere, kritik IT işlevleri şunları içerir: Kilit otomatik kontroller Kilit manüel kontrollerin muntazam işleyişi için başvurulan IT işlevleri Kilit raporlar Hesaplamalar veya defter-i kebire kaydetme gibi, olası bir hatanın tespit edilemeyebileceği ve mali raporlarda önemli bir hataya yol açabileceği diğer kritik işlevler. Bunun için kimileri “programlı muhasebe prosedürleri” terimini kullanır. Kurumsal düzeyde kontrol COSO’nun kontrol tanımı hem kurumsal düzeyde hem de ayrıntılı proses düzeyinde var olan kontrolleri kapsar. Kurumsal düzeydeki riskler, organizasyonun bütününü ve ayrıntılı proses seviyesinde birden çok kontrolün etkinliğini etkileyebileceğinden dolayı daha yaygın karaktere sahip olabilirler. “Kurumsal seviyede” terimi, önerilen AS/2 revizyonunda kullanılan ve daha doğru bir karşılık olan “şirket seviyesinde” terimiyle eşanlamlıdır. ERP İşletme kaynak planlama (ERP) sistemleri, şirketin operasyonları veya üretim konularıyla ilgili birçok işletme uygulamasını birbirine entegre eden ve otomatikleştiren yönetim bilişim sistemleridir. Finansal açıdan önemli Finansal açıdan önemli: Aplikasyonlar, kilit otomatik aplikasyon kontrolleri, kilit raporlar ve diğer kilit otomatik prosesleri içeren finansal raporlama sürecinin bütünlüğünü güvenceye almak için kullanılan işlevleri içerir. Bu işlevler istikrarlı ve doğru bir şekilde çalışmazlarsa, en azından, önlenemeyen ya da gözden kaçırılan önemli bir yanlış beyanın yapılması ihtimali ortaya çıkacaktır. Bir işlevin bu tanım kapsamına alınabilmesi için, önemli yanlış beyanların tespit edilmesi veya önlenmesi için mutlak gerekli bir işlev olması şarttır (örneğin bir kilit kontrolün parçası). Veriler; normal aplikasyon kontrollerinde gözden kaçan (örneğin bir ITGC hatası neticesinde) yetkisiz bir değişikliğe maruz kaldıkları takdirde, önlenemeyen veya tespit edilemeyen bir önemli yanlış beyanda bulunulmasını en azından makul ölçüde olanaklı hale getiren verilerdir. Böyle bir durum, söz konusu verilerin finansal veriler olması halinde veya bir otomatik prosedürün istikrarlı operasyonu için gerek duyulan veriler olması halinde söz konusu olabilir. ICFR Finansal raporlama üzerinde iç denetim IIA İç Denetim Enstitüsü, küresel merkezi Altamonte Springs, Florida, ABD adresinde olan, 130.000’in üzerinde üyeye sahip bir uluslararası meslek örgütüdür. IIA örgütü, iç denetim mesleğiyle ilgili sertifikasyon, eğitim, araştırma ve teknolojik rehberlik alanlarında dünya çapında öncü kuruluş olarak kabul edilmektedir. IT genel kontrol prosesleri IT kapsamında yürütülen ağ taramaları yapma, yönelticilerin (router) bakımı ve aplikasyon değişikliklerinin test edilmesi gibi faaliyetler, IT genel kontrol proseslerine dahildir. ITGC kontrol prosesleri için mutlak olarak bu tanımların kullanılması GAIT metodolojisinin kullanımı açısından gerek şart değildir. Her GAIT kullanıcısı, GAIT metodolojisinin özünü bozmamak kaydıyla bunların yerine kendi tanımlarını kullanabilir (Prensip 3’e de bakınız). ITGC ITGC genel kontrolleri, genellikle IT organizasyonunda bulunan genel IT kontrol prosesleri üzerindeki kontrol prosedürleridir. “Genel manada ifade etmek gerekirse, ITCG, muhasebe hareketlerinin işlenmesi için gereken işlevselliği sağlayan ve otomatik kontrol araçları temin eden aplikasyonların geliştirilmesine ve akabinde bunların işlerliğinin sürdürülmesine olanak verir. Bu kontroller, ayrıca, aplikasyonların muntazam işlerliğini ve gerek verilerin, gerekse programların yetkisiz değişikliklere karşı korunmasını sağlar.” (§404 Kılavuzu) Dokuz bağımsız denetim firmasının temsilcileri, Aralık 2004 tarih ve “Kontrol Beklentileri ve Zafiyetleri için Değerlendirilme Çerçevesi” başlıklı çalışmalarında, ITGC ile ilgili bazı bölümleri içeren bir doküman hazırlamışlardır. Bu dokümanda ITGC ile aplikasyon kontrolleri (veya otomatik kilit kontroller) arasındaki ilişki şu şekilde tarif edilmiştir: “ITGC’ler aplikasyon kontrollerinin süreğen etkin işleyişini etkileyebilir. Örneğin, etkili bir güvenlik yönetimi işlevi, erişimi kısıtlayan aplikasyon kontrollerinin sürekli etkin işlerliğini destekler. Başka bir örnek vermek gerekirse; etkin program değişikliği kontrolleri, üç-yollu eşleme gibi programlı aplikasyon kontrollerinin sürekli etkin işlerliğini destekler. ITGC’ler ayrıca aplikasyon düzeyinde kontrol işlevi de görebilir. Örneğin, ITGC’ler erişimi kısıtlamaya yönelik kontrol amacını doğrudan yerine getirebilir ve böylelikle yetkisiz işlem ve hareketlerin başlatılmasını en baştan önleyebilir.” Kilit Kontrol Hata vermesi halinde, mali tablolardaki önemli bir hatanın önlenememesi veya zamanında tespit edilememesi en azından makul ölçüde muhtemel olan bir kontrol, kilit kontrol olarak tanımlanır. Başka bir deyişle, önemli hataların önlenmesini veya zamanında tespit edilmesini makul ölçüde güvenceye alan her kontrol kilit kontrol sınıfına girer. Kontrol tek başına hata verebileceği gibi, aynı anda hata vermesi muhtemel diğer kontrollerle eşzamanlı olarak da hata verebilir. Literatürde buna “kümelenme” denir. Bir kontrolün hata vermesi önemli bir bildirim hatasına yol açmasa bile, bunların birkaçının aynı anda sekteye uğraması riski uzak bir ihtimal olmaktan çıkaracak derecede artırır. Kümelenme durumunda, kontrollerin, örneğin aynı anda, aynı kişi tarafından veya aynı bilgisayar sistemiyle çalıştırılmalarından dolayı muhtemelen aynı anda sekteye uğramaları gerekir. Bir hatanın zamanında tespit edilmesi kritik önem taşır. Aksi halde, hataların mali tablolar SEC’e sunulduktan sonra tespit edilmesi söz konusu olabilir ve bu da potansiyel olarak tabloların yeniden hazırlanmasını ve sunulmasını gerektirir. PCAOB’nin AS5 dokümanında ifade ettiği gibi, kilit kontroller esas itibariyle şöyle tanımlanabilir: “İç denetçi, mali raporlardaki her beyanın tabi olduğu yanlış bilgi riskini yeterli düzeyde değerlendiren şirket kontrollerini seçerek bunların test edilmesine karar verir.” Kilit Rapor Kilit kontrolde kullanılan raporlardır ve genellikle sistem tarafından hazırlanır. Bir raporun kilit rapor olarak nitelendirilebilmesi için aşağıdaki şartların karşılanması gerekir: Rapordaki tespit edilmeyen bir hata, örneğin rapordaki bilginin bir hareket (yevmiye kaydı gibi) meydana getirmek için kullanılmasından veya bir kontrole (günü geçmiş alacakların gözden geçirilmesi gibi) temel oluşturmasından dolayı önemli bir hatayla sonuçlanabilir Kontrolün manüel bölümünün raporda mutlaka hata tespit etmesi gerekmez. Önemli hata SEC’e sunulan mali raporlarda bulunan bir önemli yanlış bilgi beyanı. Operasyon yönetimi Aplikasyonları ve sistemleri işletme ve çalıştırma prosesi. Bu proses tipik olarak fiziki güvenlik yedeklemesini ve veri kurtarmayı ve veri merkezi operasyonlarının diğer alanlarını içerir. PCAOB Halka Açık Şirketler Muhasebe Gözetim Kurulu (PCAOB), kamu şirketlerinin denetçilerini izlemek ve denetlemek amacıyla SarbanesOxley kanunuyla oluşturulan, kâr amacı gütmeyen bir özel sektör kuruluşudur. Tüzükte belirtilen amacı, “Açıklayıcı, tarafsız ve bağımsız denetim raporlarının hazırlanmasında yatırımcıların çıkarlarını korumak ve kamu çıkarını geliştirmek” olarak ifade edilmiştir”. PCAOB özel bir kuruluş olmasına rağmen, hükümetin sahip olduklarına benzer birçok düzenleyici işleve de sahiptir ve bu yönüyle, Birleşik Devletler’de borsaları ve finansal piyasaların diğer alanlarını düzenleyen özel Özdüzenleyici Kuruluşlar’a (SRO’lar) çok yakın bir işlev üstlenmiştir. SEC Birleşik Devletler Tahvil ve Borsa Komisyonu (SEC), temel sorumluluğu federal tahvil kanunlarını uygulamak ve tahvil piyasalarını düzenlemek olan bir Birleşik Devletler hükümet dairesidir. SEC, 1934 tarihli Tahvil Borsaları Kanunu’nun 4. Maddesi (günümüzde 15 U.S.C. §78d olarak kodlanmıştır) hükümleri uyarınca oluşturulmuştur. SEC, 1934 kanununa ek olarak, 1933 tarihli Tahvil Kanunu, 1939 tarihli Yatırım Fonu Senetleri Kanunu, 1940 tarihli Yatırım Şirketleri Kanunu, 1940 tarihli Yatırım Danışmanlığı Kanunu, 2002 tarihli Sarbanes-Oxley Kanunu hükümlerini de uygular. Güvenlik Yönetimi Sistemlere ve verilere erişimi kısıtlamak suretiyle aplikasyonların, verilerin, işletim sistemlerinin ve ağ altyapısının sağlamlığını güvenceye alma prosesidir. Yığıt Her IT genel kontrolleri prosesi her aplikasyonun IT altyapısındaki dört katmanda - aplikasyon, veritabanı (şema gibi bağlantılı yapılar da dahil), işletim sistemi ve ağ altyapısı - işlerlik gösterir. Bu katmanlar aynı zamanda “yığıt” olarak da bilinirler. GAIT kullanıcıları yığıt tanımını kendi organizasyonlarına uyacak şekilde değiştirebilirler. Yukarıdan-aşağı PCAOB, yukarıdan-aşağı yaklaşımı AS5’te şöyle açıklamıştır: yaklaşım Denetçi, kontrol edilecek olan testleri seçmek için, mali raporlama üzerinde iç kontrol denetimine yukarıdan-aşağı bir yaklaşım benimsemelidir. Yukarıdan-aşağı yaklaşım mali tablolar düzeyinde ve denetçinin mali raporlama üzerindeki iç kontrol mekanizmalarının tabi olduğu genel riskleri anlamasıyla başlar. Denetçi daha sonra kurumsal düzeydeki kontrollere odaklanır ve önemli hesaplara, beyanlara ve bunlarla ilgili açıklamaların derinine iner. Bu yaklaşım denetçinin dikkatini, mali tablolarda ve ilgili beyanlarda bir önemli bilgi yanlışı yapılmasını makul düzeyde olanaklı kılan hesaplara, beyanlara ve açıklamalara yöneltir. Daha sonra, denetçi, şirket proseslerinde mevcut riskleri tam anlayıp anlamadığını test eder ve önemli hususların her biri için değerlendirilen yanlış beyan riskini yeterince kapsayan kontrolleri test etmek üzere seçer. Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All Rights reserved. Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, bütün önemli açılardan orjinali ile aynı olan çevirinin – değiştirilmesi onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır. Bu dokümanın hiçbir parçası, IIA Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi bir sistemde saklanamaz veya herhangi bir formatta paylaşılamaz, herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı bir yöntemle çoğaltılamaz.