Document 7581568
Download
Report
Transcript Document 7581568
BT RİSKLERİNİZ GÖZALTINDA MI?..
Bilgi Sistemleri Denetiminde
BDDK Yaklaşımı
AHMET TÜRKAY VARLI
ITAudit 2006
BİLGİ TEKNOLOJİLERİ
DENETİMİ
Sempozyum & Workshops
19 - 22 Nisan 2006
swissôtel , İSTANBUL
BDDK Bilgi Yönetimi Dairesi
Daire Başkanı
ITAudit 2006
UYARI
Bu sunumda ifade edilen görüşler, Kurum dahilinde Bilgi
Sistemleri (BS) Denetimi alanında sürdürülen çalışmalar
çerçevesinde oluşturulmuş ve henüz resmi Kurum
görüşünü temsil etmemektedir.
2/35
ITAudit 2006
İÇİNDEKİLER
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi Gereksinimi
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi : COBIT
Paydaşlardan Beklentiler
3/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi :
COBIT
Paydaşlardan Beklentiler
4/35
ITAudit 2006
BANKACILIKTA
Bilgi Teknolojileri (BT)’nin Vazgeçilmezliği
Sektörel BT harcamaları-2005 (Kaynak:Gartner)
5/35
ITAudit 2006
BT Harcamaları: Türkiye ve Dünya
(Kaynak : Gartner)
2.200
Türkiye'de Bankaların BT Harcamaları ve
Tahmini
2.065
1.952
300
2.033
250
1.726
1.800
Milyar $
Milyon $
2.000
1.600
Dünyada Bankaların BT Harcamaları ve
Tahmini
1.493
1.428
1.301
1.400
1.200
200
185
198
207
215
2004
2005
2006
224
233
243
2007
2008
2009
150
1.000
2003
2004
2005
2006
Yıllar
2007
2008
2009
100
2003
Yıllar
Denetim gereksinimi ve yaklaşımı değişiyor…
6/35
ITAudit 2006
BDDK- BT Envanter Çalışması
Milyon YTL
15.000
Milyon YTL
420
409
12.000
402
400
385
380
9.000
360
3.000
340
0
2003
2004
Teknoloji Giderleri
7.143
8.408
8.741
2003
2004
6.000
366
2002
12.258
2005
2002
2005
İşletme Giderleri
7/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi Gereksinimi
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi : COBIT
Paydaşlardan Beklentiler
8/35
ITAudit 2006
BS Denetimi Gereksinimi
AT&T
–
–
Enron
–
–
Finansal Bilgi Raporlamasında Sahtekarlık
60 Milyar USD Zarar
WorldCom
–
Ana Switch Problemi (1998)
18 Saat Boyunca Pek Çok Kredi Kartı Kullanım Dışı
Finansal Bilgi Raporlamasında Sahtekarlık
İmar Bankası
–
Çifte Kayıt Sistemi
9/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi :
COBIT
Paydaşlardan Beklentiler
10/35
ITAudit 2006
Dünyada Kamusal Bilgi Sistemleri
Denetimi
Kullanılan Yaklaşımlar
ÜLKELER
FİNLANDİYA
“İç Kontrol ve Risk Yönetimi" İle İlgili Geliştirdikleri Kendi Standartları
NORVEÇ
CoBIT Baz Alınmıştır
MACARİSTAN
CoBIT Baz Alınmıştır
ÇEK
CUMHURİYETİ
IT Yönetişimi ve Operasyonel Risk Kapsamında Sınırlı Düzenlemeler
MAKEDONYA
ISO 17799 Baz Alınmıştır
SLOVAKYA
Her Yıl Bilgi Sistemleri Güvenliğini Kapsayacak Bir Denetim Raporu
Finansal Denetimin Yanında Sistem, Operasyon, Veri ve İş Devamlılığı
Denetimi
DANİMARKA
PORTEKİZ
Üç Yılda Bir BS Denetimi Yapılmasını Zorunlu Kılan Kanun Tasarısı
İSRAİL
ISO 17799 Baz Alınmıştır
HOLLANDA
Sınırlı Anlamda BS Denetimi‘ne de Referansta Bulunan Standardlar
İTALYA
Sınırlı Anlamda BS Kontrolleri İçeren Düzenlemeler
SLOVENYA
ISO 17799 Baz Alınmıştır
YUNANISTAN
BS Denetimi’ne de Değinen Bankacılık İle İlgili İki Kanun
Almanya Denetim Kuruluşu (IDW) Tarafından Geliştirilen PS 330
Standardı
ALMANYA
11/35
ITAudit 2006
Dünyada Kamusal Bilgi Sistemleri (BS) Denetimi
Herhangi Bir Düzenleme Yapmamış Ülkeler
•
•
•
•
•
Rusya
Tunus
İspanya
Güney Afrika
Türkiye !!!
•
Taslak Yönetmelik ve diğer alt düzenlemeler
12/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi :
COBIT
Paydaşlardan Beklentiler
13/35
ITAudit 2006
Basel II- Operasyonel Risk
BASEL II’de Operasyonel Risk Tanımı:
“Yetersiz ve başarısız içsel süreçlerden, personel ve sistemlerden ya
da dışsal olaylardan kaynaklanan, doğrudan veya dolaylı zarar
riskidir”
BDDK’nın İlgili Yönetmeliğinde (İDRYS):
“Banka içi kontrollerdeki aksamalar sonucu hata ve usulsüzlüklerin
gözden kaçmasından, banka yönetimi ve personeli tarafından
zaman ve koşullara uygun hareket edilmemesinden, banka
yönetimindeki hatalardan, bilgi teknolojisi sistemlerindeki hata ve
aksamalar ile deprem, yangın, sel gibi felaketlerden
kaynaklanabilecek kayıplara ya da zarara uğrama ihtimali” olarak
tanımlanmaktadır.
“Operasyonel Risk” diğer riskleri çarpan etkisi ile
arttırabilir!
14/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi :
COBIT
Paydaşlardan Beklentiler
15/35
ITAudit 2006
BDDK’ da BS Denetimi Çalışmaları (I)
2004 yılında başlandı (Teşkilat Yönetmeliği
Değişikliği)
Örgüt yapısı yenilendi
BS Denetimi ekibi oluşturuldu
COBIT, BS7799, ITIL, COSO, standartları ve
yaklaşımları ile “FFIEC IT Examination Handbook”
incelendi
Bankalar BT envanteri anket çalışması yapıldı
Bankalarda Bağımsız Denetim Kuruluşlarınca
gerçekleştirilecek Bilgi Sistemleri Denetimine ilişkin
(BDKGBSD) Yönetmelik (Taslak)
16/35
ITAudit 2006
BDDK’ da BS Denetimi Çalışmaları (II)
İnsan kaynağı açığının kapatılması
Uzman ve uzman yardımcılarının
sertifikasyonu
Eğitim çalışmaları
Sınırlı kapsamlı BS denetimi (bağımsız
denetim)
17/35
ITAudit 2006
BDDK’ da BS Denetimi Çalışmaları
Planlar
Kısa Vadeli
Sınırlı Denetim Raporları ile tespit edilen konulara ilişkin
önlemlerin alınması
BS Denetimi yapmak isteyen kuruluşların yetki
başvurularının değerlendirilmesi
Bağımsız BS Denetimi Raporu İçeriğinin ve Yapısının
belirlenmesine ilişkin düzenleme
Bankalarda BS yönetişiminin sağlaması, etkin BS
Yapısını oluşturulması ve Kontrol Hedeflerine
ulaşılmasında yararlanılacak düzenleme
18/35
ITAudit 2006
BDDK’ da BS Denetimi Çalışmaları
Planlar
Orta Vadeli
Bankalar Bilgi Teknolojileri Envanteri
çalışmasının denetim planlaması
amacıyla yenilenmesi / yinelenmesi
Aktif denetim
19/35
ITAudit 2006
BDDK / BS Denetimi
Temel Prensipler
Risk odaklı denetim
–
–
Süreç denetimi yaklaşımı (gerektiğinde ayrıntıya
inebilme)
Üç saç ayağı
–
–
–
Üstlenilen Riskler (Bankalar risk almak zorundadır)
Tesis edilen Politikalar, oluşturulan süreçler ve prosedürler
İç denetim
Bağımsız Denetim
Kamusal Denetim
Denetçiler arası İşbirliği
Tek başlılık
–
–
Denetim alanlarının bütünselliği (Finans + BS)
Sorumlulukların Tespiti
20/35
ITAudit 2006
BDKGBSD Yönetmeliği (Taslak)
Hazırlanma Süreci (I)
2004 yılında çalışmalara başlanmıştır
Paydaşların (Bankalar, Bağımsız Denetim
Kuruluşları, ilgili STK’lar, İlgili kamu kurumları)
katılımı
Web sayfasında kamuya duyuru
Temel referanstaki yenilik çerçevesinde
güncelleme
21/35
ITAudit 2006
(BDKGBSD) Yönetmelik
Hazırlanma Süreci (II)
Mevcut bağımsız denetim yönetmelikleri
(yetkilendirme ve denetim ilkeleri) ile ilişki ve
uyum
– Temel ilkelerin korunması (örnek: meslek
mensuplarının)
– Materyalite, Etik kurallar
BS denetçisi unvanlarına İlişkin kriterlerin
belirlenmesinde yaşanan zorluklar
22/35
ITAudit 2006
BDKGBSD Yönetmelik (Taslak)
Yetkilendirme ve Meslek Mensupları
Tarafların Yükümlülükleri
Bilgi Sistemleri Denetimi
Genel İlkeler ve Sorumluluklar
Denetlenenin Destek Hizmeti Alması ve Bunların
Denetimi
Bilgi Sistemleri Denetiminde İşbirliği
Bilgi Sistemleri Denetiminde Dış Hizmet Alımı
Bilgi Sistemleri Denetimi Raporu ve Bildirimi
23/35
ITAudit 2006
BDKGBSD Yönetmelik (Taslak)
BS Denetimi
Bağımsız Denetim ile BS Denetimi bütünsellik oluşturur
Bağımsız Denetim Şirketleri BS denetimi işini dış kaynak
kullanımı yoluyla gerçekleştirebilirler.
Türler;
–
–
–
uygulama kontrollerinin denetimi,
genel kontrol alanlarının denetimi,
genel kontroller ile uygulama kontrollerinin birlikte gerçekleştirildiği geniş
kapsamlı denetim
Outsourcing
Denetim Takvimi
–
–
Uygulama Kontrolleri her yıl ve Genel Kontroller iki yılda bir yapılır.
Kurul özelleştirilmiş denetim isteyebilir.
Benimsenen Denetim Çerçevesi COBIT
24/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi :
COBIT
Paydaşlardan Beklentiler
25/35
ITAudit 2006
Benimsenen Denetim Çerçevesi
COBIT
Neden COBIT ?
–
–
–
–
–
–
–
–
Süreç tesisi ve denetimi odaklı
Bütüncül yaklaşım
Dengeli ve hiyerarşik yapılandırılmış alanlar
Ölçme ve Derecelendirme Mekanizması
Etkili Kurumsal Yönetişim aracı (Yönetilebilirliğin
sağlaması)
Teknolojiden bağımsız
ISO 17799, ITIL, SOX, COSO yaklaşımlarına uygun
AB Mevzuatında BS Denetimi çerçevesi olarak
uygunluğuna onay veren düzenlemeler
26/35
ITAudit 2006
Basel II ve BS Denetimi
(Kaynak : INFORMATION SYSTEMS CONTROL JOURNAL)
Basel II
Olay
Çeşitleri
BT ile ilgili alanlar
İç
Dolandırıcılık
Programların kasıtlı değiştirilmesi
Değişiklik fonksiyonlarının yetkisiz kullanımı
Sistem yönergelerinin kasıtlı değiştirilmesi
Donanımın kasıtlı değiştirilmesi
Sistemin ve uygulama verilerinin Hackleme yoluyla
kasıtlı değiştirilmesi
Lisansız yazılım kullanımı/kopyalanması
Erişim haklarının içeriden değiştirilmesi
PO6 (Yönetimin amaçlarının
DS5
Sistemin ve uygulama verilerinin Hackleme yoluyla
kasıtlı değiştirilmesi
Dışarıdan gelenlerin gizli fiziksel veya elektronik
dökumanları görebilme imkanı bulabilmesi
Erişim haklarının dışarıdan değiştirilmesi
Haberleşme bağlantılarının kesilmesi veya
dinlenmesi
Şifrelerin ele geçirilmesi
Virüsler
BT kaynaklarının hatalı kullanımı
Güvenlik duyarlılığının düşüklüğü
PO6 (Yönetimin amaçlarının
Dış
Dolandırıcılık
İstihdam
Uygulamaları
ve İş Ortamı
Güvenliği
COBIT Süreçleri
ve talimatlarının iletilmesi)
DS5 (Sistem güvenliğinin
sağlanması)
DS9 (Konfigürasyon
yönetimi)
(Sistem güvenliğinin
sağlanması)
ve talimatlarının iletilmesi)
PO7 (İnsan kaynakları
yönetimi)
27/35
ITAudit 2006
Basel II ve BS Denetimi
Fiziksel
Değerlerin
Zarar Görmesi
İş Aksamaları
ve Sistem
Arızaları
Yürütme,
Dağıtım ve
Süreç Yönetimi
Bilinçli veya kaza ile BT fiziksel altyapısına verilen
zarar
DS12 (Veri yönetimi)
Donanım ve yazılım aksamaları
Haberleşme arızaları
Çalışanların sistemi sabote etmesi
Temel BT çalışanlarının işi bırakması
Yazılım/veri dosyalarının tahribi
Yazılımın veya hassas bilgilerin çalınması
Bilgisayar hataları
Sistemin geri yüklenememesi
DoS saldırısı
Konfigürasyon kontrol hatası
DS3
Elektronik medyalara (CD, DVD,…) dokunma
hatası
Kullanılmayan iş ortamları
Değişim kontrollerinde hata
Tamamlanmamış girdi veya transaction
Veri girdi/çıktısında hata
Programlama/deneme hatası
Operatör hatası, geri yükleme süreçlerinde mesela
Elle yapılan süreçlerde hata
AI5 (Bilgi sistemleri
(Performans ve kapasite
yönetimi)
DS4 (Hizmet sürekliliğinin
sağlanması)
DS5 (Sistem güvenliğinin
sağlanması)
DS9 (Konfigürasyon yönetimi)
DS10 (Problem yönetimi)
kaynaklarının karşılanması)
AI6 (Değişiklik yönetimi)
DS5(Sistem güvenliğinin
sağlanması)
DS10 (Problem yönetimi)
28/35
ITAudit 2006
COBIT vs COSO
(Kaynak: ISACA)
Birincil
Takipçiler
(Bütünleşme
Konsorsiyumu)
BK gözüyle
BK hedefleri Organizasyonel
Bileşenler ve
Alanlar
Ana Alan
COBIT
COSO
Yönetim, kullanıcılar ve
BS denetçileri
Yönetim
Politikaları, süreçleri, uygulamaları
ve organizasyonel yapıları içeren
süreçler kümesi
Süreç
Etkin &Verimli operasyonlar, Gizlilik,
Bilginin Uyumluluğu ve
Ulaşılabilirliği, Kanun ve
düzenlemelerle uyumlu güvenilir
finansal raporlama
Alanlar:
Planlama ve Organizasyon
Tedarik ve Uygulama
Hizmet Sunumu ve Destek
İzleme ve Değerlendirme
Etkin&Verimli
operasyonlar, Kanun ve
düzenlemelerle uyumlu
güvenilir finansal
raporlama
Bileşenler:
Kontrol ortamı
Risk yönetimi
Kontrol eylemleri
Bilgi ve haberleşme
takibi
Sektörün tamamı
Bilişim Teknolojisi
29/35
ITAudit 2006
COBIT vs ISO 17799
(Kaynak : ISACA)
COBIT
ISO 17799
Kurumsal Yönetişim
Bilgi Güvenliği Odaklı
İş Strateji ve Süreçlerinin
Değerlendirilmesi
Bilgi Güvenliği Standardı
Ölçüm Yöntemi
Güvenlik Kontrollerinin
Değerlendirilmesi
ISACA %100 uyumlu, beraber kullanılabilirler
30/35
ITAudit 2006
Standart Kapsamları
Kaynak: ISACA
Göreceli Kapsam
Kapsanan COBIT Alanları
(+): Değinilen Alanlar
(O): Kısmen Değinilen
Alanlar
(-): Değinilmeyen alanlar
31/35
ITAudit 2006
BT Denetiminin Zorlukları
(Çalışmalar Sırasında Karşılaşılmış Olan)
Uygulanan denetim araçlarının ve metodlarının çeşitliliği,
tam standardizasyonun sağlanamamış olması
Yetişmiş eleman eksikliği
– Örneğin: ISACA nın Türkiye Chapter’ının olmaması
– Sertifikasyon zorunlu tutulamıyor
Oturmamış veya hiç olmayan mesleki mevzuat
Bankalara yönelik ‘Uyulması Gereken Kriterler Seti’
eksikliği – Görüş vermedeki güçlük sonucu
Finansal/BS Denetçileri ortak çalışma gerekliliği
Konunun tüm taraflar (Denetçi, Denetlenen, Otorite) için
yeni olması
32/35
ITAudit 2006
Bankacılıkta Bilgi Teknolojilerinin (BT)
Vazgeçilmezliği
Bilgi Sistemleri (BS) Denetimi İhtiyacı
Diğer Ülke Uygulamaları
Basel II / Operasyonel Risk
BDDK’da BS Denetimi Çalışmaları
Benimsenen Denetim Çerçevesi :
COBIT
Paydaşlardan Beklentiler
33/35
ITAudit 2006
Paydaşlardan Beklentiler
BANKALAR
BS’nin Bankacılık faaliyetlerindeki önem derecesini doğru
değerlendirmek (BASEL II Operasyonel riskin önemi)
Kontrol hedeflerinin tesisi, bankacılık faaliyetlerinde
BS’den etkin yararlanmayı sağlar
Kontrol hedeflerinin tesisi, Kurumsal yönetişimin önemli
bileşenlerinden biridir
Denetim sonuçları süreçlerin iyileştirilmesi ve
etkinleştirilmesi için bir fırsattır (Finansal denetimler
sonuca, BS denetimi daha çok sürece odaklıdır)
Etkin ve yönetilebilir bir BS ortamı uluslararası
kredibiliteyi de olumlu yönde etkiler
Dış hizmet alımı BS denetimi sorumluğunun devri
anlamına gelmez
34/35
ITAudit 2006
Paydaşlardan Beklentiler
BAĞIMSIZ DENETİM KURULUŞLARI
Bankacılık şekli değişmiştir, buna göre denetim
sürecinin kapsamı değişmektedir
Sağlıklı denetim için yeniden yapılanma kaçınılmazdır
– Denetim ekiplerinin yapılandırılması vb.
Sağlıklı bir denetimin bileşeni olarak BS Denetimi;
kanuni zorunluluk olmaktan çok profesyonel iş
yapmanın gereğidir
35/35
ITAudit 2006
İLGİNİZ İÇİN TEŞEKÜRLER
SORULAR
36/35