Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
2
1 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Oktay Aktolun Direktör Deloitte & Touche - Kurumsal Risk Hizmetleri 13 Aralık, 2002 Bilgi Teknolojileri Denetim Yaklaşımı
3
2 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. İçerik Neden Bilgi Teknolojileri Denetimi Denetimin Temeli Bilgi Teknolojileri Denetimlerinin İçeriği BT Süreçleri Genel Kontrol Alanları
4
3 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden Bilgi Teknolojileri Denetimi...
5
4 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ? Yarın sisteminizin çalışacağını kontrol edebiliyormusunuz ? Acil durumlar karşısında İŞ SÜREKLİLİĞİNİZİ nasıl sağlayacaksınız? İHTİYAÇLARINIZ ile kullandığınız teknoloji ne kadar uyuşuyor?
6
5 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ? Teknoloji YATIRIMLARINIZ kaç yıl yaşayacak ? Teknolojik riskleriniz için ÖNLEMLERİ nasıl alıyorsunuz ? Teknoloji projelerinizin taşıdığı RİSKLERDEN haberdar mısınız ?
7
6 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ? Teknolojik altyapınız ihtiyaçlarınız için OPTİMUM ÇÖZÜM mü? Bilgi İşlem’den XXX bey işten ayrılırsa yandık... diye bir kaygı duyuyor musunuz ? Kullanıcıların sistem yada uygulama kaçaklarını bulma ve kullanma olasılığı nasıl kontrol ediliyor ?
8
7 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ? Yazılım güncellemelerinde bazı hesaplamalarınız değişebilir mi? Nasıl bu kadar emin olabiliyorsunuz ? Reeskont hesaplamalarınızın her zaman doğruluğundan emin misiniz ? Ya INTERNET / INTRANET / EXTRANET ? Yazılım üzerindeki yetkileri kimler nasıl değiştiriyor ? Ya teknoloji yatırım giderleri ? Süreçlerdeki iyileştirme noktalarını kim belirliyor ?
9
8 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ? Müşteri ve Kurum bilgileri GÜVENDE mi? Hangi açılardan ’’güvende mi’’ ? Fiziksel Donanım İşletim Sistemi Uygulama Yazılımı Entegrasyon Erişim Değişim Operasyon Felaket Vb. Vb.
10
9 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Küçük bir örnek ancak medya sektöründen.... Atak öncesi...
11
10 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Küçük bir örnek ancak medya sektöründen.... Ve sonrası... (Internet changes everything..?)
12
11 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetimin Temeli...
13
12 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim... Bulgular analitik, test edilmiş, belirli kurallara dayalı, para veya reputasyon kaybına yol açma olasılığı bulunan, belirli zaman diliminde gerçekleşebilme olasılığı bulunan, bulunan, konular olmalıdır.
14
13 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim... Her türlü BT denetimi; bilgi sistemleri yönetimi süreçleri ile otomasyona dahil edilmiş veya edilmemiş süreçleri, bu süreçler arasındaki arabirimleri, konu ile ilgili inceleme ve değerlendirmeyi, kapsamalıdır. G eneral Standards For Information Systems Auditing, June 1987. June 1987.
15
14 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Kurum’da olan gelişmelerden haberdar olmalı, Kurumun’un çevresindeki diğer benzer kuruluşlardaki gelişmeleri takip etmeli, BT Denetimi yapan denetçiler bilgi ve özelliklerine bağlı olarak yeni teknolojileri çabuk kavramalı ve değişime ayak uydurabilmeli, Üst yönetimin efektif çalışmayı sağlamak üzere edindiği rolün temsil edildiği unutulmamalı, Denetçiler
16
15 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim nasıl yapılmalı... Kurallara veya iç prosedürlere dayalı objektif inceleme Kanıta bağlı bulgu Tarafsız yaklaşım Standartlara bağlı kriterler Teknik terimleri mininmum oranda içeren yazılı bir Risk / Etki / Görüş veya Öneri dokümanı
17
16 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. BT Denetim Alanları Bilgi Teknolojileri Süreçleri Uygulamalar ve modülleri Spesifik yazılımlar, donanımlar, altyapı vb. Belirlenmiş standartlara göre yapılan denetimler Spesifik konfigürasyonlar İş süreçleri ile uygulama uygunluğu Sahtekarlık denetimi Vb. BT Denetimleri
18
17 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Bilgi Teknolojileri Denetiminin İçeriği...
19
18 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Kısaca Risk RİSK: Bir işletmenin iş stratejisine ve amacına ulaşmasını engelleyecek her türlü tehdidin ’’etki ve olma olasılığı’’ dır. Formül :Risk – Kontrol = Tehdit unsuru (R) – (K) = (T)
20
19 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Risk, Risk, Risk Strategic Risk Stakeholder Market Structure Governance Supplier Government Customer Business Partner Shareholder Reputation Corporate Monitoring Resource Allocation Strategic Planning Ethics Transaction Economic Country Market Dynamics Competitor Information Risk Systems Intellectual Property Information Management Hardware Software Networks Planning & Development Operations Organisation & Monitoring Intangible Assets Knowledge Management Information Financial Risk Liquidity & Credit Collectability Cash Management Hedging Funding Capital Structure Equity Debt Market Commodity Interest Rate Foreign Exchange Reporting Tax Accounting Regulatory & Compliance Operational Risk Process Physical Asset Marketing & Selling Production & Delivery Support Processes Plant, Property & Estate Other Tangibles People & Culture Human Resources Learning Organisation Legal Liability Contract Legislative & Regulatory New Product/Service Development Risk Tipleri
21
20 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Teknoloji Riskleri Personnel turnover “Third Parties” Acquisitions Illegal payments High Volumes Management involvement in transactions Management circumvents control procedures Conversions Unusual transactions New - Network connections Changes in financial statements Processing errors Pressure to deliver a new system Users have no time to test systems Cannot be explained
22
21 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. IT Denetim Standartları (ISACA) Genel Standartlar Profesyonel Etik Dokümanı Diğer kurumların standartları (COBIT vb.) Güvenlik standartları (BS7799, ISO 17799 vb.) Vb. Standartlar
23
22 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim Süreci Denetim yaklaşımının belirlenmesi ve planlama Denetim amacının ve çerçevesinin belirlenmesi Eldeki bilgilerin değerlendirilmesi Bilinen risklerin değerlendirilmesi Denetim plan ve programının oluşturulması
24
23 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetimin gerçekleştirilmesi Görüşmeler Uygunluk incelemesi Prosedürlerin analitik incelemesi Detaylı testler Kanıt elde etme Denetim Süreci
25
24 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetimin sonuçlandırılması Sonuçların değerlendirilmesi Raporun oluşturulması ve yayınlanması Denetim Süreci
26
25 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. BT Genel Denetim Alanları BT Süreçleri Güncel olmak kaydı ile tüm bilgi teknolojileri süreçleri, Strateji ve Kaynak Planlaması BT Operasyon Bilgi Güvenliği Veritabanı Yazılım Geliştirme Süreci Ağ Yönetimi Donanım Sistem Yazılımları İş sürekliliği 3. Firmalarla ilişkilerin Yönetimi
27
26 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. BT Süreçleri Genel Kontrol Alanları...
28
27 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Kontrol Ç eşitleri Önleyici Uyarıcı Düzeltici
29
28 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. BT S ü re ç leri Genel Kontrol Alanları Organizasyonel ve Yönetimsel Uygulama Geliştirme Süreci Bilgi Sistemleri Operasyonu Uygulamalar
30
29 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Organizasyonel ve Yönetimsel Kontroller Bilgi sistemleri aktivitelerinin planlanması Organizasyonun uzun vadeli planlaması Planlama veya karar komitesi Bilgi sistemleri biriminin strateji planlaması Organizasyon ve Bilgi sistemlerinin kısa vadeli planlaması Planlamanın kontrol edilmesi Politika, prosedür ve standartların varlığı Yönetimin bilgi sistemlerinin planlamasını, kontrolünü ve değerlendirmesini kolaylıkla yapabilmesi için politika, prosedür ve standartlar hazırlanması Dış ihtiyaçların karşılanma şekli Organizasyonun hedeflerine ulaşmasında dış gereksinimlerin dikkate alınması, Dış gereksinimlerin araştırılması, Organizasyona uygunluğunun değerlendirilmesi.
31
30 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Temel adımlar Yazılım Geliştirme Yaşam Döngüsü Projeye başlanması Fizibilite çalışması Tasarım aşaması Geliştirme ve implementasyon Operasyon ve bakım Son değerlendirmeler Uygulama Geliştirme S ü re ç Kontrolleri
32
31 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Yazılım Geliştirme Yaşam Döngüsü Metodoloji Görev ve Sorumluluklar Uygulama Geliştirme S ü re ç Kontrolleri
33
32 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Projeye Başlanması Projenin tanımı Projeye kullanıcı birimlerin dahil edilmesi Proje takımının oluşturulması ve sorumlulukların belirlenmesi Gerekli bilgilerin tanımlanması Projenin onaylanması Uygulama Geliştirme S ü re ç Kontrolleri
34
33 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Fizibilite Çalışması Alternatif çözümlerin araştırılması Teknik fizibilite çalışması Mali fizibilite çalışması Risk analiz raporu Projenin onaylanması Ana proje planının oluşturulması Maliyetlerin izlenmesi Uygulama Geliştirme S ü re ç Kontrolleri
35
34 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Tasarım Aşaması Metodolojinin belirlenmesi Çıktı tanımlarının yapılması ve dokümantasyonu Girdi tanımlarının yapılması ve dokümantasyonu Dosya tanımlarının yapılması ve dokümantasyonu Uygulama Geliştirme S ü re ç Kontrolleri
36
35 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Tasarım Aşaması Süreç ihtiyaçlarının tanımlanması ve dokümantasyonu Programların spesifikasyonu Kaynak verilerinin tasarımı Kontrollerin ve güvenliğin tasarlanması Denetim Tasarımın denetimi denetim Uygulama Geliştirme S ü re ç Kontrolleri
37
36 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Tasarım Aşaması Tasarımın onaylanması Yazılım dokümantasyon standartlarının oluşturulması Geçerlilik, onay ve test planlarının oluşturulması Uygulama Geliştirme S ü re ç Kontrolleri
38
37 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Geliştirme Programsal hedefler Detaylı program dokümantasyonu Operasyon ve bakım kılavuzları Kullanıcı kılavuzları Eğitim planları Yazılım test standartları Uygulama Geliştirme S ü re ç Kontrolleri
39
38 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Kullanıma Sunma Test Senaryoları Sistem test standartları Sistem test dokümantasyonu Test sonuçlarının değerlendirilmesi Aktarım planları Eş zamanlı test Son kabul testleri Uygulama Geliştirme S ü re ç Kontrolleri
40
39 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyon ve Bakım Operasyon kontrol prosedürleri Maliyetlerin izlenmesi Gerekli sistem uyarlamaları Kullanıcı taleplerinin tekrar değerlendirilmesi Uygulama Geliştirme S ü re ç Kontrolleri
41
40 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Son değerlendirmeler Son değerlendirme planlarının oluşturulması Sonuçların değerlendirilmesi İstenilen talepler ile uyuşmasının değerlendirilmesi Maliyet-fayda analizleri Geliştirme standartlarına uygunluğun değerlendirilmesi Bulguların raporlanması Uygulama Geliştirme S ü re ç Kontrolleri
42
41 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Temel Adımlar: Bilgi sistemleri kaynak planlaması ve yönetimi Bilgisayar operasyonu İşletim Sistemi Fiziksel ve mantıksal güvenlik Olasılık planlaması
43
42 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Bilgi sistemleri kaynak planlaması ve yönetimi Yıllık işletim bütçesi Donanım alım planlaması Donanım kapasite yönetimi
44
43 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Bilgisayar operasyonu Operasyonel Prosedürler İşyükü programlaması Kaynak programlaması Donanım bakım yönetimi Problem yönetimi Değişim yönetimi İşlem maliyetleri
45
44 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Bilgisayar operasyonu Kullanıcı başına maliyetlendirme ve tahsilat yöntemleri Yedekleme Sorumlulukları Kağıt, Kartuş, disket gibi ihtiyaçların giderilmesi
46
45 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller İşletim Sistemi Seçimi Maliyet – fayda analizleri Kuruluş Bakımı Değişim kontrolleri Problem yönetimi Güvenlik
47
46 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Fiziksel ve mantıksal güvenlik Sorumlulukların belirlenmesi Yetkilerin belirlenmesi Ziyaretçilerin takibi Şifre yönetimi Güvenlik raporlamaları
48
47 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Fiziksel ve mantıksal güvenlik Mantıksal erişim kısıtlamaları Veri erişim güvenliği Kritik transactionların kontrolü Çevresel tehlikeler Güvenlik uyarı ve prosedürleri eğitimi
49
48 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Acil Durum Planlaması Beklenmeyen durumlara karşı kritik kaynakların yedeklemesi ve geri dönüşün sağlanabilmesi için uygun planların hazırlanması
50
49 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Acil Durum Planlaması Acil durum planlaması Personelin acil durumlarda eğitiminin ve güvenliğinin sağlanması Kritik transactionlar Kritik donanım kaynakları İletişim servisleri Donanım ve lokasyon yedeklemesi
51
50 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller Acil Durum Planlaması Yedekleme operasyonu Geri dönüş prosedürleri Acil durum donanımı Acil durum planlamasının testi Operasyon merkezinin yeniden yapılanması Kullanıcı birimleri için dokümantasyon
52
51 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri Temel Adımlar Temel Kontroller Veri giriş kontrolleri Veri işlem kontrolleri Çıktı kontrolleri
53
52 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri Temel kontroller Veri hazırlama prosedürleri Kod dokümantasyon tasarımı Kod dokümantasyon kontrolü Onaylı veri girişlerinin sağlanması Kodların saklanması
54
53 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri Veri Giriş Kontrolleri Veri aktarım ve giriş prosedürleri Aktif veri aktarım ve giriş prosedürleri Verinin doğruluğu Hata durumlarının kontrolü
55
54 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri Veri İşlem Kontrolleri Verinin bütünlüğü Uygulama yazılımları ile veri bütünlüğünün sağlanması İşlem doğruluğu ve bütünlüğü Hata durumlarının kontrolü
56
55 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri Çıktı kontrolleri Doğruluk – mutabakat Dağıtım Hata durumlarının kontrolü Saklama Rapor güvenliğinin sağlanması
57
56 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Global InSite and ERS Link AS/2 Audit Management System SekCheck BT Denetimi En İyi Uygulamala r Bülüm Yönetimi Otomatik Çalışma kağıtları İstatistiki Analiz Veri Analizi Operasyonel Etkiler Bilgi Güvenliği ve Analizi Değerlendirme Çalışma Grupları Visio Option Finder Audit Command Language (ACL) Star Özel Araçlar BT Denetim Araçları
58
57 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. İletişim için : oaktolun@deloitte.com
59
58 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. T eşekk ü r ederiz... Sorular ?
Benzer bir sunumlar
