Skip to main content
BilgiYayınlar

Kontrol Eylemleri-İlke 11 (Teknolojiye Uygulanacak Genel Kontrolleri Seçme ve Geliştirme) Odak Noktaları

By 24 April 2019April 18th, 2022No Comments5 min read

İLKE 11: Teknolojiye Uygulanacak Genel Kontrolleri Seçme ve Geliştirme- Örgüt, amaçlara ulaşmaya destek olmak için teknoloji üzerindeki genel kontrol eylemlerini seçer ve geliştirir.

Odak Noktaları

Aşağıda sayılan odak noktaları, bu ilkeye ilişkin önemli özellikleri vurgulamaktadır.

  • İş Süreçlerinde Teknolojinin Kullanımı ile Teknoloji Genel Kontrolleri Arasındaki Bağımlılığı Belirler: Yönetim; iş süreçleri, otomatik kontroller ve teknoloji genel kontrolleri arasındaki bağımlılığı ve bağlantıyı anlar ve belirler.

Teknolojinin otomatik kontroller dahil iş süreçlerindeki güvenilirliği, bundan böyle teknoloji genel kontrolleri (*) olarak anılacak olan teknoloji kontrol eylemlerinin seçilmesine, geliştirilmesine ve uygulanmasına bağlıdır.

(*) : Genellikle bu kontrolleri tanımlamak için kullanılan terminoloji, “genel bilgisayar kontrolleri”, “genel kontroller” veya “bilgisayar kontrolleri” terimlerini kapsar. Burada “teknoloji genel kontroller” teknoloji ile ilgili genel kontrol eylemlerine atıf yapmak için kullanılmaktadır.

Teknolojinin satın alınması ve geliştirilmesi üzerindeki teknoloji genel kontrolleri, otomatik kontrollerin ilk geliştirildiklerinde ve uygulamaya konduklarında gerektiği gibi çalışmalarını sağlamaya yardımcı olmak için kullanılır. Bunun yanı sıra, teknoloji genel kontrolleri, bilgi sistemlerinin uygulamaya konulduktan sonra da uygun şekilde çalışmaya devam etmelerine yardımcı olur.

Örneğin; bir örgütün çevrim-içi girilen verileri inceleyen bir otomatik eşleşme ve düzenleme kontrolü kullanmak istediğini farzedelim. Sistemdeki verilerle eşleşmeyen veya yanlış formatlı bir şey varsa, gerekli düzeltmelerin yapılabilmesi için anında geri bildirim sağlanır. Hata mesajları veriyle neyin yanlış olduğunu gösterirken, istisna raporları müteakip takibe imkân sağlar.

  • İlgili Teknoloji Alt Yapısı Kontrol Eylemlerini Oluşturur: Yönetim, teknoloji işlemlerinin tamlığını, doğruluğunu ve kullanılabilirliğini temin etmek için tasarlanan ve uygulanan, teknoloji alt yapısı üzerindeki kontrol eylemlerini seçer ve geliştirir.

Teknoloji, çalışmak için, teknolojileri birbirine ve kuruluşun geri kalanına bağlayan iletişim hatlarından, uygulamaları çalıştıracak bilişim kaynaklarına ve teknolojiye gereken enerjiyi sağlayacak elektriğe kadar uzanan bir alt yapının varlığını gerektirir. Sözkonusu teknoloji alt yapısı karmaşık olabilir. Bu alt yapı kuruluş içerisindeki farklı işletme birimleri ile paylaşılabilir. (Örneğin; ortak bir hizmet merkezi) veya üçüncü şahıs hizmet örgütlerinden veya konumundan –bağımsız teknoloji hizmetlerinden (Örneğin; bulut bilişim) dış kaynak kullanımı yoluyla sağlanabilir. Bu karmaşıklıklar mutlaka anlaşılması ve irdelenmesi gereken riskler yaratır. Teknoloji kullanımı konusunda görülmesi muhtemel olan ve gelecekte de devam etme olasılığı bulunan değişiklerin geniş kapsamlı oldukları göz önünde bulundurulduğunda örgütün bu değişiklikleri izlemesi, değerlendirmesi ve yeni risklere yanıt vermesi gerekir.

  • İlgili Güvenlik Yönetim Süreci Kontrol Eylemlerini Oluşturur: Yönetim teknolojiye erişim haklarını, görev sorumlulukları ile orantılı bir şekilde yetkilendirilmiş kullanıcılarla sınırlamak ve dış tehditlere karşı kuruluşun varlıklarını korumak için tasarlanan ve uygulanan kontrol eylemlerini seçer ve geliştirir.

Güvenlik yönetimi, kimin işleri yürütme yetkisine sahip olduğu da dahil bir kuruluşun teknolojisine kimin ve neyin erişimi olduğu üzerindeki alt-süreçleri ve kontrol eylemlerini içerir. Bunlar genellikle, verilere, işletim sistemlerine (sistem yazılımı), ağlara, uygulamalara ve fiziksel katmanlara erişim haklarını kapsar. Erişim üzerindeki güvenlik kontrolleri, bir kuruluşu uygun olmayan erişimden ve sistemin yetkisiz kullanımından korur ve görevlerin ayrılığını destekler. Sistemin yetkisiz kullanımı ve değiştirilmesi önlenerek, veri ve program bütünlüğü, kötü niyete (örneğin hile eylemlerini, yıkıcı eylemleri veya terör eylemlerini gerçekleştirmek için teknolojiye sızılması/zorla erişim sağlanması) veya basit bir hataya (örneğin; iyi niyetli bir personelin iş konusunda gereken eğitimi almadığı için, tatilde olan başka bir çalışanın hesabını bir işi yapmak amacıyla kullanması ve bir işlemi yanlış yapması veya bir dosyayı silmesi gibi) karşı korunur.

  • İlgili Teknolojiyi Satın Alma, Geliştirme ve Sürdürme Süreçleri Üzerinde Kontrol Eylemleri Oluşturur: Yönetim, kendi amaçlarına ulaşmak için teknolojinin ve teknoloji alt yapısının satın alınması, geliştirilmesi ve sürdürülmesi üzerinde kontrol eylemleri seçer ve geliştirir.

Teknoloji genel kontrolleri, teknolojinin satın alınmasını, geliştirilmesini ve sürdürülmesini destekler. Örneğin, teknoloji geliştirme metodolojisi, teknolojinin satın alınması, geliştirilmesi ve sürdürülmesi üzerindeki kontrollerin yanı sıra , belirli aşamaları, belgelendirme (dökümantasyon) şartlarını, onayları ve kontrol noktalarını ana hatlarıyla gösteren bir sistem tasarımı ve uygulama yapısı sağlar. Sözkonusu metodoloji teknolojide yapılacak değişiklikler üzerinde uygun kontroller sağlar ve bu kontroller, değişiklik taleplerinin yetkilendirilmesini, kuruluşun teknolojiyi halen kullandığı şekildeki gibi yasal kullanma hakkına sahip olduğunun doğrulanmasını; değişikliklerin, onayların ve test sonuçlarının gözden geçirilmesini ve değişikliklerin uygun yapılıp yapılmadığını tespit etmek için protokollerin uygulanmasını gerektirebilir.

Geliştirme metodolojisinin kapsamı içerisinde yer alan teknoloji genel kontrolleri, teknoloji projesinin /girişiminin taşıdığı risklere bağlı olarak değişecektir. Büyük veya karmaşık bir geliştirme projesi, küçük ve basit bir geliştirme projesine kıyasla daha büyük riskler barındıracaktır. Proje üzerindeki kontrollerin kapsamı ve sıklığı buna göre belirlenmelidir.

İç Kontrol Makale Kaynakları

  • Uluslararası İç Denetim Standartları, Uluslararası İç Denetçiler Enstitüsü, www.theiia.org
  •  Makale Kaynakları
  • Dr.Davut Pehlivanlı, Güncel İç Denetim Uygulamaları, Beta 2010
  • Prof.Dr. Nejat Bozkurt, Muhasebe Denetimi, Alfa 1998
  • Prof.Dr.Nejat Bozkurt, TÜRMOB Bağımsız Denetim Eğitimi Ders Notları, 2012
  • Dr.Özgür Çatıkkaş, KGK, Marmara Üniversitesi. Kurumsal Yönetim Ders Notları, 2013
  • İSMMMO-Kobilerde İç Denetim İçin Pratik Bilgiler, 2013
  • Türkiye İç Denetim Enstitüsü, www.tide.org.tr
  • Alp Buluç, Makale, İç Kontrol, Hürses, 19 Mart 2013
  • 6102 sayılı Türk Ticaret Kanunu
  • Uluslararası Ic Denetim Standartları, www.theiia.org
  • www.coso.org Treadway Komisyonu Destekçi Kurumlar Komitesi, İç Kontrol Bütünleşik Çerçevesi, 2013
  • Kamu Mali Yönetim ve Kontrol Kanunu
  • Kamu İç Kontrol Standartları
  • Kamu İç Kontrol Rehberi