Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

1 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Oktay Aktolun Direktör Deloitte & Touche - Kurumsal Risk Hizmetleri 13 Aralık, 2002 Bilgi.

Benzer bir sunumlar


... konulu sunumlar: "1 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Oktay Aktolun Direktör Deloitte & Touche - Kurumsal Risk Hizmetleri 13 Aralık, 2002 Bilgi."— Sunum transkripti:

1

2 1 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Oktay Aktolun Direktör Deloitte & Touche - Kurumsal Risk Hizmetleri 13 Aralık, 2002 Bilgi Teknolojileri Denetim Yaklaşımı

3 2 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. İçerik  Neden Bilgi Teknolojileri Denetimi  Denetimin Temeli  Bilgi Teknolojileri Denetimlerinin İçeriği  BT Süreçleri Genel Kontrol Alanları

4 3 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden Bilgi Teknolojileri Denetimi...

5 4 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ?  Yarın sisteminizin çalışacağını kontrol edebiliyormusunuz ?  Acil durumlar karşısında İŞ SÜREKLİLİĞİNİZİ nasıl sağlayacaksınız?  İHTİYAÇLARINIZ ile kullandığınız teknoloji ne kadar uyuşuyor?

6 5 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ?  Teknoloji YATIRIMLARINIZ kaç yıl yaşayacak ?  Teknolojik riskleriniz için ÖNLEMLERİ nasıl alıyorsunuz ?  Teknoloji projelerinizin taşıdığı RİSKLERDEN haberdar mısınız ?

7 6 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ?  Teknolojik altyapınız ihtiyaçlarınız için OPTİMUM ÇÖZÜM mü?  Bilgi İşlem’den XXX bey işten ayrılırsa yandık... diye bir kaygı duyuyor musunuz ?  Kullanıcıların sistem yada uygulama kaçaklarını bulma ve kullanma olasılığı nasıl kontrol ediliyor ?

8 7 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ?  Yazılım güncellemelerinde bazı hesaplamalarınız değişebilir mi?  Nasıl bu kadar emin olabiliyorsunuz ?  Reeskont hesaplamalarınızın her zaman doğruluğundan emin misiniz ?  Ya INTERNET / INTRANET / EXTRANET ?  Yazılım üzerindeki yetkileri kimler nasıl değiştiriyor ?  Ya teknoloji yatırım giderleri ?  Süreçlerdeki iyileştirme noktalarını kim belirliyor ?

9 8 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Neden BT Denetimi ?  Müşteri ve Kurum bilgileri GÜVENDE mi?  Hangi açılardan ’’güvende mi’’ ?  Fiziksel  Donanım  İşletim Sistemi  Uygulama Yazılımı  Entegrasyon  Erişim  Değişim  Operasyon  Felaket  Vb.  Vb.

10 9 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Küçük bir örnek ancak medya sektöründen....  Atak öncesi...

11 10 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Küçük bir örnek ancak medya sektöründen....  Ve sonrası... (Internet changes everything..?)

12 11 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetimin Temeli...

13 12 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim...  Bulgular  analitik,  test edilmiş,  belirli kurallara dayalı,  para veya reputasyon kaybına yol açma olasılığı bulunan,  belirli zaman diliminde gerçekleşebilme olasılığı bulunan, bulunan, konular olmalıdır.

14 13 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim...  Her türlü BT denetimi;  bilgi sistemleri yönetimi süreçleri ile otomasyona dahil edilmiş veya edilmemiş süreçleri,  bu süreçler arasındaki arabirimleri,  konu ile ilgili inceleme ve değerlendirmeyi, kapsamalıdır. G eneral Standards For Information Systems Auditing, June June 1987.

15 14 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Kurum’da olan gelişmelerden haberdar olmalı,  Kurumun’un çevresindeki diğer benzer kuruluşlardaki gelişmeleri takip etmeli,  BT Denetimi yapan denetçiler bilgi ve özelliklerine bağlı olarak yeni teknolojileri çabuk kavramalı ve değişime ayak uydurabilmeli,  Üst yönetimin efektif çalışmayı sağlamak üzere edindiği rolün temsil edildiği unutulmamalı, Denetçiler

16 15 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim nasıl yapılmalı...  Kurallara veya iç prosedürlere dayalı objektif inceleme  Kanıta bağlı bulgu  Tarafsız yaklaşım  Standartlara bağlı kriterler  Teknik terimleri mininmum oranda içeren yazılı bir Risk / Etki / Görüş veya Öneri dokümanı

17 16 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  BT Denetim Alanları  Bilgi Teknolojileri Süreçleri  Uygulamalar ve modülleri  Spesifik yazılımlar, donanımlar, altyapı vb.  Belirlenmiş standartlara göre yapılan denetimler  Spesifik konfigürasyonlar  İş süreçleri ile uygulama uygunluğu  Sahtekarlık denetimi  Vb. BT Denetimleri

18 17 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Bilgi Teknolojileri Denetiminin İçeriği...

19 18 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Kısaca Risk  RİSK:  Bir işletmenin iş stratejisine ve amacına ulaşmasını engelleyecek her türlü tehdidin ’’etki ve olma olasılığı’’ dır. Formül :Risk – Kontrol = Tehdit unsuru (R) – (K) = (T)

20 19 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Risk, Risk, Risk Strategic Risk Stakeholder Market Structure Governance Supplier Government Customer Business Partner Shareholder Reputation Corporate Monitoring Resource Allocation Strategic Planning Ethics Transaction Economic Country Market Dynamics Competitor Information Risk Systems Intellectual Property Information Management Hardware Software Networks Planning & Development Operations Organisation & Monitoring Intangible Assets Knowledge Management Information Financial Risk Liquidity & Credit Collectability Cash Management Hedging Funding Capital Structure Equity Debt Market Commodity Interest Rate Foreign Exchange Reporting Tax Accounting Regulatory & Compliance Operational Risk Process Physical Asset Marketing & Selling Production & Delivery Support Processes Plant, Property & Estate Other Tangibles People & Culture Human Resources Learning Organisation Legal Liability Contract Legislative & Regulatory New Product/Service Development Risk Tipleri

21 20 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Teknoloji Riskleri Personnel turnover “Third Parties” Acquisitions Illegal payments High Volumes Management involvement in transactions Management circumvents control procedures Conversions Unusual transactions New - Network connections Changes in financial statements Processing errors Pressure to deliver a new system Users have no time to test systems Cannot be explained

22 21 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  IT Denetim Standartları (ISACA)  Genel Standartlar  Profesyonel Etik Dokümanı  Diğer kurumların standartları (COBIT vb.)  Güvenlik standartları (BS7799, ISO vb.)  Vb. Standartlar

23 22 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Denetim Süreci  Denetim yaklaşımının belirlenmesi ve planlama  Denetim amacının ve çerçevesinin belirlenmesi  Eldeki bilgilerin değerlendirilmesi  Bilinen risklerin değerlendirilmesi  Denetim plan ve programının oluşturulması

24 23 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Denetimin gerçekleştirilmesi  Görüşmeler  Uygunluk incelemesi  Prosedürlerin analitik incelemesi  Detaylı testler  Kanıt elde etme Denetim Süreci

25 24 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Denetimin sonuçlandırılması  Sonuçların değerlendirilmesi  Raporun oluşturulması ve yayınlanması Denetim Süreci

26 25 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. BT Genel Denetim Alanları  BT Süreçleri  Güncel olmak kaydı ile tüm bilgi teknolojileri süreçleri,  Strateji ve Kaynak Planlaması  BT Operasyon  Bilgi Güvenliği  Veritabanı  Yazılım Geliştirme Süreci  Ağ Yönetimi  Donanım  Sistem Yazılımları  İş sürekliliği  3. Firmalarla ilişkilerin Yönetimi

27 26 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. BT Süreçleri Genel Kontrol Alanları...

28 27 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Kontrol Ç eşitleri  Önleyici  Uyarıcı  Düzeltici

29 28 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. BT S ü re ç leri Genel Kontrol Alanları  Organizasyonel ve Yönetimsel  Uygulama Geliştirme Süreci  Bilgi Sistemleri Operasyonu  Uygulamalar

30 29 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Organizasyonel ve Yönetimsel Kontroller  Bilgi sistemleri aktivitelerinin planlanması  Organizasyonun uzun vadeli planlaması  Planlama veya karar komitesi  Bilgi sistemleri biriminin strateji planlaması  Organizasyon ve Bilgi sistemlerinin kısa vadeli planlaması  Planlamanın kontrol edilmesi  Politika, prosedür ve standartların varlığı  Yönetimin bilgi sistemlerinin planlamasını, kontrolünü ve değerlendirmesini kolaylıkla yapabilmesi için politika, prosedür ve standartlar hazırlanması  Dış ihtiyaçların karşılanma şekli  Organizasyonun hedeflerine ulaşmasında dış gereksinimlerin dikkate alınması,  Dış gereksinimlerin araştırılması,  Organizasyona uygunluğunun değerlendirilmesi.

31 30 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Temel adımlar  Yazılım Geliştirme Yaşam Döngüsü  Projeye başlanması  Fizibilite çalışması  Tasarım aşaması  Geliştirme ve implementasyon  Operasyon ve bakım  Son değerlendirmeler Uygulama Geliştirme S ü re ç Kontrolleri

32 31 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Yazılım Geliştirme Yaşam Döngüsü  Metodoloji  Görev ve Sorumluluklar Uygulama Geliştirme S ü re ç Kontrolleri

33 32 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Projeye Başlanması  Projenin tanımı  Projeye kullanıcı birimlerin dahil edilmesi  Proje takımının oluşturulması ve sorumlulukların belirlenmesi  Gerekli bilgilerin tanımlanması  Projenin onaylanması Uygulama Geliştirme S ü re ç Kontrolleri

34 33 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Fizibilite Çalışması  Alternatif çözümlerin araştırılması  Teknik fizibilite çalışması  Mali fizibilite çalışması  Risk analiz raporu  Projenin onaylanması  Ana proje planının oluşturulması  Maliyetlerin izlenmesi Uygulama Geliştirme S ü re ç Kontrolleri

35 34 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Tasarım Aşaması  Metodolojinin belirlenmesi  Çıktı tanımlarının yapılması ve dokümantasyonu  Girdi tanımlarının yapılması ve dokümantasyonu  Dosya tanımlarının yapılması ve dokümantasyonu Uygulama Geliştirme S ü re ç Kontrolleri

36 35 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Tasarım Aşaması  Süreç ihtiyaçlarının tanımlanması ve dokümantasyonu  Programların spesifikasyonu  Kaynak verilerinin tasarımı  Kontrollerin ve güvenliğin tasarlanması  Denetim  Tasarımın denetimi  denetim Uygulama Geliştirme S ü re ç Kontrolleri

37 36 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Tasarım Aşaması  Tasarımın onaylanması  Yazılım dokümantasyon standartlarının oluşturulması  Geçerlilik, onay ve test planlarının oluşturulması Uygulama Geliştirme S ü re ç Kontrolleri

38 37 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Geliştirme  Programsal hedefler  Detaylı program dokümantasyonu  Operasyon ve bakım kılavuzları  Kullanıcı kılavuzları  Eğitim planları  Yazılım test standartları Uygulama Geliştirme S ü re ç Kontrolleri

39 38 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Kullanıma Sunma  Test Senaryoları  Sistem test standartları  Sistem test dokümantasyonu  Test sonuçlarının değerlendirilmesi  Aktarım planları  Eş zamanlı test  Son kabul testleri Uygulama Geliştirme S ü re ç Kontrolleri

40 39 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Operasyon ve Bakım  Operasyon kontrol prosedürleri  Maliyetlerin izlenmesi  Gerekli sistem uyarlamaları  Kullanıcı taleplerinin tekrar değerlendirilmesi Uygulama Geliştirme S ü re ç Kontrolleri

41 40 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche.  Son değerlendirmeler  Son değerlendirme planlarının oluşturulması  Sonuçların değerlendirilmesi  İstenilen talepler ile uyuşmasının değerlendirilmesi  Maliyet-fayda analizleri  Geliştirme standartlarına uygunluğun değerlendirilmesi  Bulguların raporlanması Uygulama Geliştirme S ü re ç Kontrolleri

42 41 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Temel Adımlar:  Bilgi sistemleri kaynak planlaması ve yönetimi  Bilgisayar operasyonu  İşletim Sistemi  Fiziksel ve mantıksal güvenlik  Olasılık planlaması

43 42 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Bilgi sistemleri kaynak planlaması ve yönetimi  Yıllık işletim bütçesi  Donanım alım planlaması  Donanım kapasite yönetimi

44 43 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Bilgisayar operasyonu  Operasyonel Prosedürler  İşyükü programlaması  Kaynak programlaması  Donanım bakım yönetimi  Problem yönetimi  Değişim yönetimi  İşlem maliyetleri

45 44 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Bilgisayar operasyonu  Kullanıcı başına maliyetlendirme ve tahsilat yöntemleri  Yedekleme Sorumlulukları  Kağıt, Kartuş, disket gibi ihtiyaçların giderilmesi

46 45 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  İşletim Sistemi  Seçimi  Maliyet – fayda analizleri  Kuruluş  Bakımı  Değişim kontrolleri  Problem yönetimi  Güvenlik

47 46 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Fiziksel ve mantıksal güvenlik  Sorumlulukların belirlenmesi  Yetkilerin belirlenmesi  Ziyaretçilerin takibi  Şifre yönetimi  Güvenlik raporlamaları

48 47 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Fiziksel ve mantıksal güvenlik  Mantıksal erişim kısıtlamaları  Veri erişim güvenliği  Kritik transactionların kontrolü  Çevresel tehlikeler  Güvenlik uyarı ve prosedürleri eğitimi

49 48 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Acil Durum Planlaması  Beklenmeyen durumlara karşı kritik kaynakların yedeklemesi ve geri dönüşün sağlanabilmesi için uygun planların hazırlanması

50 49 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Acil Durum Planlaması  Acil durum planlaması  Personelin acil durumlarda eğitiminin ve güvenliğinin sağlanması  Kritik transactionlar  Kritik donanım kaynakları  İletişim servisleri  Donanım ve lokasyon yedeklemesi

51 50 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Operasyonel Kontroller  Acil Durum Planlaması  Yedekleme operasyonu  Geri dönüş prosedürleri  Acil durum donanımı  Acil durum planlamasının testi  Operasyon merkezinin yeniden yapılanması  Kullanıcı birimleri için dokümantasyon

52 51 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri  Temel Adımlar  Temel Kontroller  Veri giriş kontrolleri  Veri işlem kontrolleri  Çıktı kontrolleri

53 52 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri  Temel kontroller  Veri hazırlama prosedürleri  Kod dokümantasyon tasarımı  Kod dokümantasyon kontrolü  Onaylı veri girişlerinin sağlanması  Kodların saklanması

54 53 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri  Veri Giriş Kontrolleri  Veri aktarım ve giriş prosedürleri  Aktif veri aktarım ve giriş prosedürleri  Verinin doğruluğu  Hata durumlarının kontrolü

55 54 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri  Veri İşlem Kontrolleri  Verinin bütünlüğü  Uygulama yazılımları ile veri bütünlüğünün sağlanması  İşlem doğruluğu ve bütünlüğü  Hata durumlarının kontrolü

56 55 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Uygulama Kontrolleri  Çıktı kontrolleri  Doğruluk – mutabakat  Dağıtım  Hata durumlarının kontrolü  Saklama  Rapor güvenliğinin sağlanması

57 56 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Global InSite and ERS Link AS/2 Audit Management System SekCheck BT Denetimi En İyi Uygulamala r Bülüm Yönetimi Otomatik Çalışma kağıtları İstatistiki Analiz Veri Analizi Operasyonel Etkiler Bilgi Güvenliği ve Analizi Değerlendirme Çalışma Grupları Visio Option Finder Audit Command Language (ACL) Star Özel Araçlar BT Denetim Araçları

58 57 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. İletişim için :

59 58 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. T eşekk ü r ederiz... Sorular ?


"1 TÜRKİYE BANKALAR BİRLİĞİ Copyright © 2002 Deloitte & Touche. Oktay Aktolun Direktör Deloitte & Touche - Kurumsal Risk Hizmetleri 13 Aralık, 2002 Bilgi." indir ppt

Benzer bir sunumlar


Google Reklamları