1 / 36

Bilgi Sistemleri Denetiminde BDDK Yaklaşımı

Bilgi Sistemleri Denetiminde BDDK Yaklaşımı . AHMET TÜRKAY VARLI BDDK Bilgi Yönetimi Dairesi Daire Başkanı. UYARI.

olina
Download Presentation

Bilgi Sistemleri Denetiminde BDDK Yaklaşımı

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bilgi Sistemleri Denetiminde BDDK Yaklaşımı AHMET TÜRKAY VARLI BDDK Bilgi Yönetimi Dairesi Daire Başkanı

  2. UYARI Bu sunumda ifade edilen görüşler, Kurum dahilinde Bilgi Sistemleri (BS) Denetimi alanında sürdürülen çalışmalar çerçevesinde oluşturulmuş ve henüz resmi Kurum görüşünü temsil etmemektedir. 2/35

  3. İÇİNDEKİLER • Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi Gereksinimi • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 3/35

  4. Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi İhtiyacı • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 4/35

  5. BANKACILIKTABilgi Teknolojileri (BT)’nin Vazgeçilmezliği • Sektörel BT harcamaları-2005 (Kaynak:Gartner) 5/35

  6. BT Harcamaları: Türkiye ve Dünya (Kaynak : Gartner) Denetim gereksinimi ve yaklaşımı değişiyor… 6/35

  7. BDDK- BT Envanter Çalışması Teknoloji Giderleri İşletme Giderleri 7/35

  8. Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi Gereksinimi • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 8/35

  9. BS Denetimi Gereksinimi • AT&T • Ana Switch Problemi (1998) • 18 Saat Boyunca Pek Çok Kredi Kartı Kullanım Dışı • Enron • Finansal Bilgi Raporlamasında Sahtekarlık • 60 Milyar USD Zarar • WorldCom • Finansal Bilgi Raporlamasında Sahtekarlık • İmar Bankası • Çifte Kayıt Sistemi 9/35

  10. Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi İhtiyacı • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 10/35

  11. Dünyada Kamusal Bilgi Sistemleri Denetimi 11/35

  12. Dünyada Kamusal Bilgi Sistemleri (BS) Denetimi Herhangi Bir Düzenleme Yapmamış Ülkeler • Rusya • Tunus • İspanya • Güney Afrika • Türkiye !!! • Taslak Yönetmelik ve diğer alt düzenlemeler 12/35

  13. Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi İhtiyacı • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 13/35

  14. BASEL II’de Operasyonel Risk Tanımı: “Yetersiz ve başarısız içsel süreçlerden, personel ve sistemlerden ya da dışsal olaylardan kaynaklanan, doğrudan veya dolaylı zarar riskidir” BDDK’nın İlgili Yönetmeliğinde (İDRYS): “Banka içi kontrollerdeki aksamalar sonucu hata ve usulsüzlüklerin gözden kaçmasından, banka yönetimi ve personeli tarafından zaman ve koşullara uygun hareket edilmemesinden, banka yönetimindeki hatalardan, bilgi teknolojisi sistemlerindeki hata ve aksamalar ile deprem, yangın, sel gibi felaketlerden kaynaklanabilecek kayıplara ya da zarara uğrama ihtimali” olarak tanımlanmaktadır.  Basel II- Operasyonel Risk “Operasyonel Risk” diğer riskleri çarpan etkisi ile arttırabilir! 14/35

  15. Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi İhtiyacı • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 15/35

  16. BDDK’ da BS Denetimi Çalışmaları (I) • 2004 yılında başlandı (Teşkilat Yönetmeliği Değişikliği) • Örgüt yapısı yenilendi • BS Denetimi ekibi oluşturuldu • COBIT, BS7799, ITIL, COSO, standartları ve yaklaşımları ile “FFIEC IT Examination Handbook” incelendi • Bankalar BT envanteri anket çalışması yapıldı • Bankalarda Bağımsız Denetim Kuruluşlarınca gerçekleştirilecek Bilgi Sistemleri Denetimine ilişkin (BDKGBSD) Yönetmelik (Taslak) 16/35

  17. BDDK’ da BS Denetimi Çalışmaları (II) • İnsan kaynağı açığının kapatılması • Uzman ve uzman yardımcılarının sertifikasyonu • Eğitim çalışmaları • Sınırlı kapsamlı BS denetimi (bağımsız denetim) 17/35

  18. BDDK’ da BS Denetimi ÇalışmalarıPlanlar Kısa Vadeli • Sınırlı Denetim Raporları ile tespit edilen konulara ilişkin önlemlerin alınması • BS Denetimi yapmak isteyen kuruluşların yetki başvurularının değerlendirilmesi • Bağımsız BS Denetimi Raporu İçeriğinin ve Yapısının belirlenmesine ilişkin düzenleme • Bankalarda BS yönetişiminin sağlaması, etkin BS Yapısını oluşturulması ve Kontrol Hedeflerine ulaşılmasında yararlanılacak düzenleme 18/35

  19. BDDK’ da BS Denetimi ÇalışmalarıPlanlar Orta Vadeli • Bankalar Bilgi Teknolojileri Envanteri çalışmasının denetim planlaması amacıyla yenilenmesi / yinelenmesi • Aktif denetim 19/35

  20. BDDK / BS DenetimiTemel Prensipler • Risk odaklı denetim • Üstlenilen Riskler (Bankalar risk almak zorundadır) • Tesis edilen Politikalar, oluşturulan süreçler ve prosedürler • Süreç denetimi yaklaşımı (gerektiğinde ayrıntıya inebilme) • Üç saç ayağı • İç denetim • Bağımsız Denetim • Kamusal Denetim • Denetçiler arası İşbirliği • Tek başlılık • Denetim alanlarının bütünselliği (Finans + BS) • Sorumlulukların Tespiti 20/35

  21. BDKGBSD Yönetmeliği (Taslak)Hazırlanma Süreci (I) • 2004 yılında çalışmalara başlanmıştır • Paydaşların (Bankalar, Bağımsız Denetim Kuruluşları, ilgili STK’lar, İlgili kamu kurumları) katılımı • Web sayfasında kamuya duyuru • Temel referanstaki yenilik çerçevesinde güncelleme 21/35

  22. (BDKGBSD) YönetmelikHazırlanma Süreci (II) • Mevcut bağımsız denetim yönetmelikleri (yetkilendirme ve denetim ilkeleri) ile ilişki ve uyum • Temel ilkelerin korunması (örnek: meslek mensuplarının) • Materyalite, Etik kurallar • BS denetçisi unvanlarına İlişkin kriterlerin belirlenmesinde yaşanan zorluklar 22/35

  23. BDKGBSD Yönetmelik (Taslak) • Yetkilendirme ve Meslek Mensupları • Tarafların Yükümlülükleri • Bilgi Sistemleri Denetimi • Genel İlkeler ve Sorumluluklar • Denetlenenin Destek Hizmeti Alması veBunların Denetimi • Bilgi Sistemleri Denetiminde İşbirliği • Bilgi Sistemleri Denetiminde Dış Hizmet Alımı • Bilgi Sistemleri Denetimi Raporu ve Bildirimi 23/35

  24. BDKGBSD Yönetmelik (Taslak)BS Denetimi • Bağımsız Denetim ile BS Denetimi bütünsellik oluşturur • Bağımsız Denetim Şirketleri BS denetimi işini dış kaynak kullanımı yoluyla gerçekleştirebilirler. • Türler; • uygulama kontrollerinin denetimi, • genel kontrol alanlarının denetimi, • genel kontroller ile uygulama kontrollerinin birlikte gerçekleştirildiği geniş kapsamlı denetim • Outsourcing • Denetim Takvimi • Uygulama Kontrolleri her yıl ve Genel Kontroller iki yılda bir yapılır. • Kurul özelleştirilmiş denetim isteyebilir. • Benimsenen Denetim Çerçevesi COBIT 24/35

  25. Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi İhtiyacı • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 25/35

  26. Benimsenen Denetim ÇerçevesiCOBIT • Neden COBIT ? • Süreç tesisi ve denetimi odaklı • Bütüncül yaklaşım • Dengeli ve hiyerarşikyapılandırılmış alanlar • Ölçme ve Derecelendirme Mekanizması • Etkili Kurumsal Yönetişim aracı (Yönetilebilirliğin sağlaması) • Teknolojiden bağımsız • ISO 17799, ITIL, SOX, COSO yaklaşımlarına uygun • AB Mevzuatında BS Denetimi çerçevesi olarak uygunluğuna onay veren düzenlemeler 26/35

  27. Basel II ve BS Denetimi(Kaynak :INFORMATION SYSTEMS CONTROL JOURNAL) 27/35

  28. Basel II ve BS Denetimi 28/35

  29. COBIT vs COSO(Kaynak: ISACA) 29/35

  30. COBIT vs ISO 17799(Kaynak : ISACA) ISACA %100 uyumlu, beraber kullanılabilirler 30/35

  31. Standart KapsamlarıKaynak: ISACA Göreceli Kapsam Kapsanan COBIT Alanları (+): Değinilen Alanlar (O): Kısmen Değinilen Alanlar (-): Değinilmeyen alanlar 31/35

  32. BT Denetiminin Zorlukları(Çalışmalar Sırasında Karşılaşılmış Olan) • Uygulanan denetim araçlarının ve metodlarının çeşitliliği, tam standardizasyonun sağlanamamış olması • Yetişmiş eleman eksikliği • Örneğin: ISACA nın Türkiye Chapter’ının olmaması • Sertifikasyon zorunlu tutulamıyor • Oturmamış veya hiç olmayan mesleki mevzuat • Bankalara yönelik ‘Uyulması Gereken Kriterler Seti’ eksikliği – Görüş vermedeki güçlük sonucu • Finansal/BS Denetçileri ortak çalışma gerekliliği • Konunun tüm taraflar (Denetçi, Denetlenen, Otorite) için yeni olması 32/35

  33. Bankacılıkta Bilgi Teknolojilerinin (BT) Vazgeçilmezliği • Bilgi Sistemleri (BS) Denetimi İhtiyacı • Diğer Ülke Uygulamaları • Basel II / Operasyonel Risk • BDDK’da BS Denetimi Çalışmaları • Benimsenen Denetim Çerçevesi : COBIT • Paydaşlardan Beklentiler 33/35

  34. Paydaşlardan BeklentilerBANKALAR • BS’nin Bankacılık faaliyetlerindeki önem derecesini doğru değerlendirmek (BASEL II Operasyonel riskin önemi) • Kontrol hedeflerinin tesisi, bankacılık faaliyetlerinde BS’den etkin yararlanmayı sağlar • Kontrol hedeflerinin tesisi, Kurumsal yönetişimin önemli bileşenlerinden biridir • Denetim sonuçları süreçlerin iyileştirilmesi ve etkinleştirilmesi için bir fırsattır (Finansal denetimler sonuca, BS denetimi daha çok sürece odaklıdır) • Etkin ve yönetilebilir bir BS ortamı uluslararası kredibiliteyi de olumlu yönde etkiler • Dış hizmet alımı BS denetimi sorumluğunun devri anlamına gelmez 34/35

  35. Paydaşlardan BeklentilerBAĞIMSIZ DENETİM KURULUŞLARI • Bankacılık şekli değişmiştir, buna göre denetim sürecinin kapsamı değişmektedir • Sağlıklı denetim için yeniden yapılanma kaçınılmazdır • Denetim ekiplerinin yapılandırılması vb. • Sağlıklı bir denetimin bileşeni olarak BS Denetimi; kanuni zorunluluk olmaktan çok profesyonel iş yapmanın gereğidir 35/35

  36. İLGİNİZ İÇİN TEŞEKÜRLER SORULAR 36/35

More Related