Bilgi Sistemleri Denetiminde BDDK Yaklasimi

1
Bilgi Sistemleri Denetiminde BDDK Yaklasimi

• AHMET TÜRKAY VARLI
• BDDK Bilgi Yönetimi Dairesi
• Daire Baskani

2
UYARI

• Bu sunumda ifade edilen görüsler, Kurum
  dahilinde Bilgi Sistemleri (BS) Denetimi alaninda
  sürdürülen çalismalar çerçevesinde olusturulmus
  ve henüz resmi Kurum görüsünü temsil
  etmemektedir.

3
IÇINDEKILER

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Gereksinimi
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

4

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Ihtiyaci
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

5
BANKACILIKTABilgi Teknolojileri (BT)nin
Vazgeçilmezligi

• Sektörel BT harcamalari-2005 (KaynakGartner)

6
BT Harcamalari Türkiye ve Dünya (Kaynak
Gartner)
Denetim gereksinimi ve yaklasimi degisiyor
7
BDDK- BT Envanter Çalismasi
Teknoloji Giderleri
Isletme Giderleri
8

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Gereksinimi
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

9
BS Denetimi Gereksinimi

• ATT
• Ana Switch Problemi (1998)
• 18 Saat Boyunca Pek Çok Kredi Karti Kullanim Disi
• Enron
• Finansal Bilgi Raporlamasinda Sahtekarlik
• 60 Milyar USD Zarar
• WorldCom
• Finansal Bilgi Raporlamasinda Sahtekarlik
• Imar Bankasi
• Çifte Kayit Sistemi

10

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Ihtiyaci
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

11
Dünyada Kamusal Bilgi Sistemleri Denetimi
12
Dünyada Kamusal Bilgi Sistemleri (BS) Denetimi

• Herhangi Bir Düzenleme Yapmamis Ülkeler
• Rusya
• Tunus
• Ispanya
• Güney Afrika
• Türkiye !!!
• Taslak Yönetmelik ve diger alt düzenlemeler

13

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Ihtiyaci
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

14
Basel II- Operasyonel Risk

• BASEL IIde Operasyonel Risk Tanimi
• Yetersiz ve basarisiz içsel süreçlerden,
  personel ve sistemlerden ya da dissal olaylardan
  kaynaklanan, dogrudan veya dolayli zarar riskidir

• BDDKnin Ilgili Yönetmeliginde (IDRYS)
• Banka içi kontrollerdeki aksamalar sonucu
  hata ve usulsüzlüklerin gözden kaçmasindan, banka
  yönetimi ve personeli tarafindan zaman ve
  kosullara uygun hareket edilmemesinden, banka
  yönetimindeki hatalardan, bilgi teknolojisi
  sistemlerindeki hata ve aksamalar ile deprem,
  yangin, sel gibi felaketlerden kaynaklanabilecek
  kayiplara ya da zarara ugrama ihtimali olarak
  tanimlanmaktadir. 

Operasyonel Risk diger riskleri çarpan etkisi
ile arttirabilir!
15

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Ihtiyaci
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

16
BDDK da BS Denetimi Çalismalari (I)

• 2004 yilinda baslandi (Teskilat Yönetmeligi
  Degisikligi)
• Örgüt yapisi yenilendi
• BS Denetimi ekibi olusturuldu
• COBIT, BS7799, ITIL, COSO, standartlari ve
  yaklasimlari ile FFIEC IT Examination Handbook
  incelendi
• Bankalar BT envanteri anket çalismasi yapildi
• Bankalarda Bagimsiz Denetim Kuruluslarinca
  gerçeklestirilecek Bilgi Sistemleri Denetimine
  iliskin (BDKGBSD) Yönetmelik (Taslak)

17
BDDK da BS Denetimi Çalismalari (II)

• Insan kaynagi açiginin kapatilmasi
• Uzman ve uzman yardimcilarinin sertifikasyonu
• Egitim çalismalari
• Sinirli kapsamli BS denetimi (bagimsiz denetim)

18
BDDK da BS Denetimi ÇalismalariPlanlar

• Kisa Vadeli
• Sinirli Denetim Raporlari ile tespit edilen
  konulara iliskin önlemlerin alinmasi
• BS Denetimi yapmak isteyen kuruluslarin yetki
  basvurularinin degerlendirilmesi
• Bagimsiz BS Denetimi Raporu Içeriginin ve
  Yapisinin belirlenmesine iliskin düzenleme
• Bankalarda BS yönetisiminin saglamasi, etkin BS
  Yapisini olusturulmasi ve Kontrol Hedeflerine
  ulasilmasinda yararlanilacak düzenleme

19
BDDK da BS Denetimi ÇalismalariPlanlar

• Orta Vadeli
• Bankalar Bilgi Teknolojileri Envanteri
  çalismasinin denetim planlamasi amaciyla
  yenilenmesi / yinelenmesi
• Aktif denetim

20
BDDK / BS DenetimiTemel Prensipler

• Risk odakli denetim
• Üstlenilen Riskler (Bankalar risk almak
  zorundadir)
• Tesis edilen Politikalar, olusturulan süreçler ve
  prosedürler
• Süreç denetimi yaklasimi (gerektiginde ayrintiya
  inebilme)
• Üç saç ayagi
• Iç denetim
• Bagimsiz Denetim
• Kamusal Denetim
• Denetçiler arasi Isbirligi
• Tek baslilik
• Denetim alanlarinin bütünselligi (Finans BS)
• Sorumluluklarin Tespiti

21
BDKGBSD Yönetmeligi (Taslak)Hazirlanma Süreci (I)

• 2004 yilinda çalismalara baslanmistir
• Paydaslarin (Bankalar, Bagimsiz Denetim
  Kuruluslari, ilgili STKlar, Ilgili kamu
  kurumlari) katilimi
• Web sayfasinda kamuya duyuru
• Temel referanstaki yenilik çerçevesinde güncelleme

22
(BDKGBSD) YönetmelikHazirlanma Süreci (II)

• Mevcut bagimsiz denetim yönetmelikleri
  (yetkilendirme ve denetim ilkeleri) ile iliski ve
  uyum
• Temel ilkelerin korunmasi (örnek meslek
  mensuplarinin)
• Materyalite, Etik kurallar
• BS denetçisi unvanlarina Iliskin kriterlerin
  belirlenmesinde yasanan zorluklar

23
BDKGBSD Yönetmelik (Taslak)

• Yetkilendirme ve Meslek Mensuplari
• Taraflarin Yükümlülükleri
• Bilgi Sistemleri Denetimi
• Genel Ilkeler ve Sorumluluklar
• Denetlenenin Destek Hizmeti Almasi ve Bunlarin
  Denetimi
• Bilgi Sistemleri Denetiminde Isbirligi
• Bilgi Sistemleri Denetiminde Dis Hizmet Alimi
• Bilgi Sistemleri Denetimi Raporu ve Bildirimi

24
BDKGBSD Yönetmelik (Taslak)BS Denetimi

• Bagimsiz Denetim ile BS Denetimi bütünsellik
  olusturur
• Bagimsiz Denetim Sirketleri BS denetimi isini dis
  kaynak kullanimi yoluyla gerçeklestirebilirler.
• Türler
• uygulama kontrollerinin denetimi,
• genel kontrol alanlarinin denetimi,
• genel kontroller ile uygulama kontrollerinin
  birlikte gerçeklestirildigi genis kapsamli
  denetim
• Outsourcing
• Denetim Takvimi
• Uygulama Kontrolleri her yil ve Genel Kontroller
  iki yilda bir yapilir.
• Kurul özellestirilmis denetim isteyebilir.
• Benimsenen Denetim Çerçevesi COBIT

25

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Ihtiyaci
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

26
Benimsenen Denetim ÇerçevesiCOBIT

• Neden COBIT ?
• Süreç tesisi ve denetimi odakli
• Bütüncül yaklasim
• Dengeli ve hiyerarsik yapilandirilmis alanlar
• Ölçme ve Derecelendirme Mekanizmasi
• Etkili Kurumsal Yönetisim araci
  (Yönetilebilirligin saglamasi)
• Teknolojiden bagimsiz
• ISO 17799, ITIL, SOX, COSO yaklasimlarina uygun
• AB Mevzuatinda BS Denetimi çerçevesi olarak
  uygunluguna onay veren düzenlemeler

27
Basel II ve BS Denetimi(Kaynak INFORMATION
SYSTEMS CONTROL JOURNAL)
28
Basel II ve BS Denetimi
29
COBIT vs COSO(Kaynak ISACA)
30
COBIT vs ISO 17799(Kaynak ISACA)

• ISACA 100 uyumlu, beraber kullanilabilirler

31
Standart KapsamlariKaynak ISACA

• Göreceli Kapsam
• 
  

Kapsanan COBIT Alanlari
() Deginilen Alanlar (O) Kismen Deginilen
Alanlar (-) Deginilmeyen alanlar
32
BT Denetiminin Zorluklari(Çalismalar Sirasinda
Karsilasilmis Olan)

• Uygulanan denetim araçlarinin ve metodlarinin
  çesitliligi, tam standardizasyonun saglanamamis
  olmasi
• Yetismis eleman eksikligi
• Örnegin ISACA nin Türkiye Chapterinin olmamasi
• Sertifikasyon zorunlu tutulamiyor
• Oturmamis veya hiç olmayan mesleki mevzuat
• Bankalara yönelik Uyulmasi Gereken Kriterler
  Seti eksikligi Görüs vermedeki güçlük sonucu
• Finansal/BS Denetçileri ortak çalisma gerekliligi
• Konunun tüm taraflar (Denetçi, Denetlenen,
  Otorite) için yeni olmasi

33

• Bankacilikta Bilgi Teknolojilerinin (BT)
  Vazgeçilmezligi
• Bilgi Sistemleri (BS) Denetimi Ihtiyaci
• Diger Ülke Uygulamalari
• Basel II / Operasyonel Risk
• BDDKda BS Denetimi Çalismalari
• Benimsenen Denetim Çerçevesi COBIT
• Paydaslardan Beklentiler

34
Paydaslardan BeklentilerBANKALAR

• BSnin Bankacilik faaliyetlerindeki önem
  derecesini dogru degerlendirmek (BASEL II
  Operasyonel riskin önemi)
• Kontrol hedeflerinin tesisi, bankacilik
  faaliyetlerinde BSden etkin yararlanmayi saglar
• Kontrol hedeflerinin tesisi, Kurumsal yönetisimin
  önemli bilesenlerinden biridir
• Denetim sonuçlari süreçlerin iyilestirilmesi ve
  etkinlestirilmesi için bir firsattir (Finansal
  denetimler sonuca, BS denetimi daha çok sürece
  odaklidir)
• Etkin ve yönetilebilir bir BS ortami uluslararasi
  kredibiliteyi de olumlu yönde etkiler
• Dis hizmet alimi BS denetimi sorumlugunun devri
  anlamina gelmez

35
Paydaslardan BeklentilerBAGIMSIZ DENETIM
KURULUSLARI

• Bankacilik sekli degismistir, buna göre denetim
  sürecinin kapsami degismektedir
• Saglikli denetim için yeniden yapilanma
  kaçinilmazdir
• Denetim ekiplerinin yapilandirilmasi vb.
• Saglikli bir denetimin bileseni olarak BS
  Denetimi kanuni zorunluluk olmaktan çok
  profesyonel is yapmanin geregidir

36
ILGINIZ IÇIN TESEKÜRLER

• SORULAR