Bilgi sistemi denetimi hangi süreçlerden oluşur?

Bilgi sistemleri (BS) denetimi, bir kurumun teknolojik varlıklarını koruyup korumadığını, veri bütünlüğünü sağlayıp sağlamadığını ve hedeflerine verimli bir şekilde ulaşıp ulaşmadığını belirlemek amacıyla yürütülen sistematik bir kanıt toplama ve değerlendirme sürecidir. Uzman bir denetçi bakış açısıyla, bu süreç sadece teknik bir inceleme değil, aynı zamanda kurumun stratejik hedefleriyle teknoloji arasındaki bağı kuran yönetsel bir disiplindir.

Bir kurumda BS denetimi gerçekleştirilirken izlenmesi gereken temel adımlar şunlardır:

1. Denetimin Planlanması (Yol Haritasının Oluşturulması)

Denetimin en kritik aşaması planlamadır; çünkü denetim riskini makul bir seviyeye indirmek ve kaynakları doğru alanlara yönlendirmek bu aşamada belirlenir.

• Kapsam ve Amaç Belirleme: Denetlenecek sistemler, süreçler ve fiziksel alanlar (örneğin veri merkezi, ağ altyapısı) belirlenir.

• Risk Odaklı Yaklaşım: Denetçi, hangi alanların daha riskli olduğunu (doğal risk ve kontrol riski) değerlendirir.

• Örnek Senaryo: Bir bankanın denetlendiğini varsayalım. Denetçi, “insan kaynakları portalı” ile “yurt dışı para transferi sistemi” arasındaki risk farkını analiz eder. Para transferi sistemi, finansal ve yasal etkisi nedeniyle “önemli” olarak işaretlenir ve denetim planında bu alana daha fazla kaynak ve zaman ayrılır.

• Denetim Programı: Hangi testlerin (uyumluluk veya önemli doğruluk testleri) yapılacağı adım adım dökümante edilir.

2. Denetimin Gerçekleştirilmesi (Kanıt Toplama ve Testler)

Bu aşamada saha çalışması yapılır ve planlanan denetim prosedürleri uygulanarak kanıt toplanır.

• Kanıt Toplama Teknikleri: Denetçi; belgeleri tetkik eder, sistemleri gözlemler, çalışanlarla görüşmeler yapar ve teknik analizler (sızma testleri, kod analizleri) gerçekleştirir.

• Bilgisayar Destekli Denetim Teknikleri (BDDT): Büyük ve karmaşık verileri analiz etmek için otomatik araçlar kullanılır.

• Sürekli Denetim: Gerekirse, sistem içine yerleştirilen modüllerle (örneğin SCARF/EAM) işlemler gerçek zamanlı olarak izlenir.

3. Denetimin Raporlanması (Karar ve Görüş Bildirme)

Toplanan kanıtlar değerlendirildikten sonra ulaşılan sonuçlar tarafsız ve açık bir raporla yönetime sunulur.

• Bulgu Sınıflandırma: Tespit edilen eksiklikler “Kontrol Zayıflığı”, “Kayda Değer Kontrol Eksikliği” veya “Önemli Kontrol Eksikliği” olarak derecelendirilir.

• Görüş Türleri: Denetçi dört tür görüş bildirebilir:

    1. Olumlu Görüş: Önemli bir eksiklik yoksa.

    2. Şartlı Görüş: Bazı eksiklikler var ancak sistemin bütününü bozmuyorsa.

    3. Olumsuz Görüş: Önemli eksiklikler sistemin büyük kısmını etkiliyorsa.

    4. Görüş Bildirmekten Kaçınma: Yeterli kanıt toplanamamışsa.

4. Takip Faaliyetleri (Düzeltici Aksiyonlar)

Denetim süreci raporun teslimiyle bitmez. Denetçi, raporlanan bulgulara ilişkin kurumun hazırladığı “aksiyon planını” ve bu planın uygulanıp uygulanmadığını takip etmelidir.

• Örnek Senaryo: Denetim raporunda “Yedekleme şifreleme anahtarlarının güvenli saklanmadığı” bir önemli kontrol eksikliği olarak belirtilmişse, denetçi bir sonraki ziyarette bu anahtarların yeni kurulan “Donanım Güvenlik Modülü (HSM)” içine alınıp alınmadığını kontrol eder.

Özetle; iyi bir BS denetimi, kurumun teknolojik altyapısının sadece “çalıştığını” değil, “doğru ve güvenli çalıştığını” garanti altına almalıdır. Denetçi bu süreçte mesleki şüpheciliğini koruyarak, kanıta dayalı bir görüş sunmak zorundadır