Süleyman Erdem / Anadolu Grubu Bilgi Teknolojileri Denetim Uzmanı

Bilgi Teknolojileri gelişiyor, denetimi değer katıyor

Uluslararası İç Denetim Enstitüsü (IIA), denetim mesleğine yönelik farkındalığın artırılması yönündeki çalışmalarını en yoğun şekilde her yılın Mayıs ayında gerçekleştirir. Ben de, “Denetim Farkındalık Ayı”nda, denetim mesleğinin “Bilgi Teknolojileri Denetimi” alanında edindiğim deneyimlerimi sizlerle paylaşmak istedim.

Bilgi Teknolojileri (BT) bölümü çalışanı değilseniz ve şirkette BT çalışanlarından, “şu patch’i geçmeden back-up’ı bizim server’a mı alalım yoksa sanal server mı yaratalım; gece batch’leri geçerken de application’u database’e bağlarız, konfigürasyonu da check ederiz” gibi sözler duyuyorsanız, anlamakta zorlandığınız bir terminolojiye misafir oldunuz demektir.

Peki ne yapıyor bu BT çalışanları, ne hakkında konuşuyorlar? İşletmeye/bize faydaları nedir? Özetle, bu konuşmada iş birimleri daha kaliteli ve güvenli hizmet alabilsinler diye kullandığımız uygulamaları güncelleyeceklerini söylüyor ve daha önce o uygulamalarda iş birimlerinin oluşturduğu müşteri, muhasebe kaydı vb. gibi veriler kaybolmasın diye nasıl bir yol izleyeceklerini bulmaya çalışıyorlar. Cümledeki ‘gece’ kelimesi de işlemlerin, en az olduğu zaman dilimine işaret ediyor ve muhtemelen sabaha karşı güncellemeyi yaparak işlerinizi aksatmamaktaki tercihlerini anlatıyor. Evet, farklı bir terminoloji ile konuşan BT çalışanları, bizler için faydalı işler üretmek adına çalışıyorlar.

Konuyu biraz daha basitleştirecek olursak; günlük işlemlerimizi kağıt üzerinde gerçekleştirdiğimiz dönemlerde, kağıtları gün sonunda kilitli dolaplara saklardık. Denetçi geldiğinde de, evraklar “tam mı, imzalı mı vb.” diye bu dolapları açar bakardı. Hatta bu evrakın konulduğu alanlar her açıldığında açma işlemi kayıt altına alınır, odaya kimin girip çıktığının kaydı tutulurdu. Denetçi bu kayıtlara bakar; yetkisi olmadan giren bir kişi olmuşsa, dikkat edelim diye uyarır ve bu durumu raporlardı.

Günümüzde kağıdın yerini office programları, dolabın yerini veritabanı, giriş-çıkış kayıtlarının tutulduğu yazılı ortamların yerini uygulamalar aldı.

Eski ile yeniyi kıyasladığımızda aklımıza bazı sorular geliyor. Bu kayıtlar, güvenli bir yerde saklanıyor mu? Kimler bu kayıtlara erişebiliyor ya da yetkisiz erişim olmuş mu? Erişim kayıtları silinebilir mi? BT ve ilgili diğer kanunlara uygun mu çalışıyoruz?

Bu tür durumlar için, sistemin içinde otomatik çalışan ya da Bilgi Teknolojileri bölümlerince manuel işletilen kontrollerinin olması gerekir. Bu kontrollerin etkin ve yeterli olup olmadığını da farklı kişilerin araştırması ve ilgililere bilgi vermesi önem taşır. İşte bu konuda görev alan kişilere, genel olarak Bilgi Teknolojileri Denetçileri diyoruz.

Yukarıdaki gibi birçok sorunun cevabını bulabilmek için, Bilgi Teknolojileri Denetçileri, çeşitli kontrol yöntemleri ile sistemleri, uygulamaları, BT altyapısını ve iş süreçlerini gözden geçirirler, organizasyonu daha ileri noktaya, daha az maliyetle ve en önemlisi daha güvenle taşımak için kanunlar ve yönetmeliklerde de belirtilen hususlara uygun önerilerde bulunurlar.

Denetimin bu alanı; teknoloji ilerleyip iş ihtiyaçlarınız değiştiğinde, denetçilerin ve sizin kendinize sorduğunuz sorulara cevap ararken oluşmaya başladı. 1978 yılında “Bilgi Teknoloji Denetimi ve Kontrolü” ile ilgilenen meslek mensuplarını bir arada toplamayı amaçlayan ISACA (Information Systems Audit and Control Association) adına bir birlik kuruldu. Dünya çapında 140 bin civarında üyesi olan birliğin büyüklüğü de gösteriyor ki gün geçtikçe ve iş dünyasının bir çok alanında bilgi sistemleri ve buna bağlı teknoloji kullanımı yaygınlaştıkça, denetimin bu alanı da, daha çok önem kazanacak. Kim bilir belki de önümüzdeki yıllarda muhasebe kayıtlarının doğruluğunu sistem kontrol ederken, denetçiler de sistemin güvenli ve doğru çalışıp çalışmadığını kontrol eder hale gelecekler.

Yorumlarınızı bekliyoruz

e-posta adresiniz yayınlanmayacaktır.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*