Description: Description: Description: D:\www\mevzuatdergisi.com\resimler\mevzuatdergisi1.gif

 

 YIL: 14

SAYI: 161

MAYIS 2011

 

 

Description: Description: Description: D:\www\mevzuatdergisi.com\resimler\soladogru.gifönceki

Description: Description: Description: D:\www\mevzuatdergisi.com\resimler\yazicisembol.gifyazdır

 

 

Kamil TAŞCI

 

Özhan YILMAZ

 

                                                                  

KURUMSAL SÜREÇ ETKİNLİĞİNDE BİLGİ TEKNOLOJİLERİ TEMELLİ İÇ KONTROL SİSTEMLERİNİN ÖNEMİ


Özet :

Tüzel kişilikleri hukuki normlar ile tanımlanan kurumlar için bu sistemlerin doğru, güvenli, güvenilir ve yasal bilgiler üretmesi doğuracağı hukuki sonuçlar bakımından kurumlar için son derece önemlidir. Özellikle bankacılık sektöründe bu kriterlere uyulması, finans sektöründeki dalgalanmaların sistemik etkilere sahip olması nedeniyle ulusal ekonomi için hayati öneme sahiptir. Kurumların iş süreçlerinde bilgi teknolojileri temelli iç kontrol sistemlerinin uygulanması firmanın gerek iç tarafta üst yönetim, hesap verme sorululuğu olduğu hissedarlar, çalışanlar gerekse dış tarafta düzenleyici ve denetleyici rolü olan devlet için kriz dönemleri ve sonrasında tercih edilen bir önlem olarak kendisini göstermektedir. Bu çalışmanın amacı kurumsal süreç etkinliğinde bilgi teknolojileri temelli iç kontrol sistemlerinin önemini araştırma bu konudaki literatüre katkı sağlamaktır.

Anahtar Kelimeler: Kurumsal Bilgi Güvenliği, BT Denetimi, COBIT, ITIL, Sarbanes-Oxley, BT Yönetişimi, İç Denetim

Giriş

Günümüzde kurumlar iş ve işlemlerini daha etkin ve verimli gerçekleştirebilmek için giderek daha fazla bilgi ve iletişim teknolojileri kullanmakta, bu teknolojiler kurumsal süreçlerin üzerinde gerçekleştirdiği omurga görevi görmektedir. Tüzel kişilikleri hukuki normlar ile tanımlanan kurumlar için bu sistemlerin doğru, güvenli, güvenilir ve yasal bilgiler üretmesi doğuracağı hukuki sonuçlar bakımından kurumlar için son derece önemlidir. Özellikle bankacılık sektöründe bu kriterlere uyulması, finans sektöründeki dalgalanmaların sistemik etkilere sahip olması nedeniyle ulusal ekonomi için hayati öneme sahiptir.

Bilginin önemli bir kurumsal değer olarak algılandığı günümüzde üretilen bilginin güvenliği, güvenilirliği ve edinilme süreçlerinin verimliliği kritik bir konu haline gelmeye başlamıştır. ABD'de çıkarılan Sarbanes-Oxley Yasası ile halka açık şirketlerin süreçlerinin güvenilirliğini denetleyen iç kontrol yapılarının denetlenmesi ön görülmektedir. Bu yasanın getirdiği en önemli zorunluluklardan birisi de bilgi teknolojilerinin kontrolü olmuştur. Ülkemizde Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) hazırlamış olduğu “Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik” bankaların bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerin kontrol edilmesini öngörürken, “Bankaların İç Sistemleri Hakkında Yönetmelik” bankalara, muhasebe ve finansal raporlama sisteminden sağlanan bilgilerin güvence altına alınması, banka içindeki yetki ve sorumlulukların belirlenmesi yükümlülüklerini getirmektedir. Bunların yanında, yine BDDK’nın hazırlamış olduğu “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” taslağı ile bilgi sistemleri üzerinde etkin bir yönetimin tesis edilmesinin risk yönetimi, iç kontrol sistemi ve iç denetim kapsamında yürütülecek çalışmalara bağlı olduğu ifade edilmektedir. Getirilen söz konusu yasal düzenlemeler etkin bir iç kontrol yapısının önemine işaret ederken, yasalardan kaynaklanan yükümlülüklerin yerine getirilmesi zorunluluğu Bilgi Teknolojileri Yönetişim konusunu ve aralarında COBIT metodolojisinin de bulunduğu çerçeve yaklaşımları ön plana çıkarmaktadır. Bu çalışma bir kurumun etkin bir süreç yönetimi ve iç kontrol sistemine sahip olma gerekliliği üzerinde dururken, yasal düzenlemelerin getireceği zorunlulukları beklemeksizin bu yönde alınacak kararların ve geliştirilecek uygulamaların kurum içi verimliliği artıracağı ve kurumun hedeflerine daha kolay ulaşacağını vurgulamaktadır.

1.                 Bilgi ve Bilgi Teknolojilerinin Önemi

Bilgi toplumu olmayı hedeflediğimiz şu günlerde, bilgi teknolojilerinin insan hayatının her alanına nüfuz ettiği görülmektedir. İnsanlar artık günlük işlerini bilgisayarlar yardımıyla yapmayı tercih etmektedirler. Pek çok insan alış-verişlerini çeşitli firmaların internet sitelerini kullanarak yapmakta ya da bankacılık işlemlerini bankaların internet şubeleri kanalıyla gerçekleştirmekte bir sakınca görmemektedir. Ticaretin en yeni yöntemlerinden biri olmasına rağmen e-ticaret (e-commerce) günümüzde trilyon dolarlarla ifade edilen bir pazar haline gelmiştir[1].

Bilgi teknolojilerinin bu kadar yaygın kullanıldığı bir çağda, firmaların söz konusu teknolojilerden yararlanmaksızın etkin bir şekilde iş yapmalarını beklemek gerçekçi bir yaklaşım olmaktan uzaktır. Bilgi teknolojilerinin sunduğu fırsatları, işletmeleri evrak ve dosya yükünden kurtaran uygulamalar olarak algılamamak gerekir. İşletmeler, işlerini kolaylaştırmak ve teknolojik olarak üstünlüklerini kaybetmemek için bilgi teknolojileri uygulamalarını yatırım kararları çerçevesinde düşünmektedirler ve bu sebeple söz konusu yatırımlar işletme bütçesinin oldukça önemli bir kısmını oluşturmaktadır. Dünyadaki genel eğilim de bu yönde gelişmektedir. Günümüzde kullanılan pek çok teknoloji uygulaması ile bir işletmenin lojistik ve finansal faaliyetleri birbirleriyle ilişkili olarak kontrol edilebilmekte, elde edilen veriler karmaşık planlamaları yapmak için kullanılabilmektedir.

2.                 Bilgi Teknolojileri Kontrollerine Duyulan Gereksinim

Firmalara sunmuş olduğu büyük imkânlar yanında bilgi teknolojilerin yeni sorumluluklar da getirdiğinin farkında olmak gerekir. Üretilen her varlık gibi bilginin de güvenliğinin sağlanması ihtiyacı, firmaların yığınla bilgi güvenliği riskiyle uğraşmak zorunda kalmalarına neden olmaktadır. Terörist saldırılar, yangınlar, seller, depremler ve pek çok diğer felaket veri işleyen ve üreten tesislerle önemli dokümanların yok olmasına neden olabilmektedir.[2] Günümüzde işletmelerin en değerli varlıklarından birisi olarak kabul edilen bilginin uygun bir şekilde güvence altına alınması gerekmektedir. Bilginin korunması amacıyla firma kendisine uygun bir güvenlik politikası oluşturmalı ve varlıklarının korunması için çeşitli tedbirler belirlemelidir.

11 Eylül 2001 tarihinde Amerika Birleşik Devletleri’nde gerçekleştirilen terörist eylem, bilgi teknolojisi sistemlerinin insan hayatında ne kadar geniş bir yer tuttuğunu ve ne kadar korunmasız bir şekilde durduğunu göstermiştir. Pek çok firma bu felaket sonrası iş sürekliliğini sağlamakta büyük güçlükler çekmiş ve itibar kaybına uğramışlardır. Bu üzücü olay bilgi teknolojileri tedbirlerinin gerekliliğini göstermek konusunda önemli bir rol oynamıştır. Bilgi teknolojileri sistemleri için gerekli kontrollerin belirlenmesi, risklerin gerçekleşme olasılıklarıyla riskin gerçekleşme anında oluşturacağı zararların tespit edilmesi ve en uygun yöntemin seçilmesi yöneticilerin almaları gereken kararlar arasına girmiştir.

Daha önce de belirtildiği gibi bilgi teknolojileri bir yatırım kararıdır ve bu yatırım, işletmenin hedeflerini yerine getirmek konusunda yardımcı olmalıdır. Bundan dolayı, bilgi teknolojilerinin işletmenin strateji ve hedefleriyle uyumlu olması gerekmektedir. Bununla birlikte, işletmenin amaçlarını gerçekleştirmek için ihtiyaç duyduğu bilginin oluşturulmasında bilgi teknolojileri kaynaklarının iyi tanımlanmış süreçlerle yönetilmesi gerekmektedir. Bu gereklilik, işletmelerin bilgi teknolojilerini iş stratejileriyle uyumlu hale getirmelerini zorunlu kılmaktadır[3].

3.                 Kurumların Stratejik İhtiyaçları: BT Yönetişim

Bilgi teknolojilerinin iş stratejileriyle uyumlu hale getirilmesi ihtiyacı başka bir ihtiyacı daha doğurmaktadır: BT birimleri ile işletme yönetimleri arasında iletişimden sorumlu bir ara kademe. BT Yönetişimi (IT Governance) bu ihtiyacın sonucunda ortaya atılmış olmakla birlikte, amacı BT birimleri ve iş birimlerinde yer alan grupların birlikte iş görme becerisini sağlamak ve geliştirmek olarak da tanımlanabilir. Oluşturulan gruplardaki farklı birimlerden insanların kendi aralarında yapmış oldukları toplantılar sonucunda önemli kararlar alınmaktadır. Bu yapılanma sayesinde BT birimleri ve iş birimleri arasında bilgi akışının süreklilik kazanması sağlanmakta ve iş gereksinimlerinin BT birimlerine doğru aktarılabilmesi sağlanmaktadır.

BT Yönetişim kavramının işletmelere hedeflere ulaşmaları konusundaki büyük desteği olması rağmen, 2002 yılında Amerika Birleşik Devletleri’nde çıkan Sarbanes-Oxley Yasası’nın getirdiği zorunluluklar ile bu konu işletmeler için hayati öneme  sahip bir konum kazanmıştır. 2001 yılında, Amerika Birleşik Devletleri’nin en önemli şirketlerinden olan Enron ve Arthur Andersen şirketlerinin ortadan kalkmalarına neden olan Enron Skandalı’ndan sonra hazırlanan bu yasayla halka açık şirketlerin denetimi konusunda köklü değişiklikler yapılmıştır. Bu yasayla altı çizilen en önemli konulardan birisi firmaların kendi içlerinde süreçleri denetleyen bir sistemlerinin olup olmadığının denetlenmesidir.

Sarbanes-Oxley Yasası güvenlik prosedürleri ya da kontrollerini belirtmemekle birlikte yönetimin yetkin bir iç kontrol yapısının ve finansal raporlama amacıyla prosedürlerin oluşturulması ve sürdürülmesi yönündeki sorumlulukları belirlemektedir.. Bu yasaya uyum amacıyla, yönetimin denetçileri tatmin edecek bir yapılanmayla birlikte işletme süreçlerinin kontrol edilip iyileştirilmesinde rol alacak yeterli bir iç kontrol sistemini kurması gerekmektedir.[4] Firmaların bu yasaya uymada çeşitli zorluklar yaşadıkları ve büyük paralar harcadıkları bilinmektedir, işletmelerin kendi içlerinde oluşturacakları iç kontrol sisteminin süreçlerin performanslarını ve etkililiklerini artırmada alacakları aktif rol harcanan emek ve paranın çok önüne geçecektir.

Sarbanes-Oxley Yasası iş çevresinde büyük yankılar uyandıran bir yasa olmuştur. Pek çok firma süreç yapılarını bu yasayla uyumlu hale getirmek için büyük çabalar sarf etmişlerdir. Değişik firmaların  bu yasayla ilgili ortak eleştirileri ise, bu yasanın firmalara çeşitli kontrolleri öngörmekle birlikte bu kontrollerin ne  olması gerektiğini veya bu kontrollere nasıl sahip olunacağını açıklamadığı yönündeydi.[5]

4.                 Çerçeve Yaklaşımlar

İş dünyasından bu şekilde tepkiler almasına rağmen, Sarbanes-Oxley Yasası’ndan firmaların hangi kontrolleri nasıl uygulayacakları yönünde ayrıntılı bir tanımlama beklenmemelidir. Günümüzde söz konusu tanımlamayı yapacak, bu amaçlarla hazırlanmış ve kullanılmakta olan çerçeveler bulunmaktadır. Yasanın getirdiği zorunlulukları yerine getirmek için uygulanan çerçeve yaklaşımlardan bazıları şunlardır:

·  COBIT (Control Objectives for Information and Related Technology): Bilgi teknolojilerini iş gereksinimleriyle ilişkilendirmek amacıyla yayınlanan COBIT günümüzde BT Yönetişim’in en önemli yaklaşımlarından biri haline gelmiştir. Yazılım ve donanım platformundan bağımsız olan COBIT, bilgi teknolojilerinin kontrolünü sağlayan bir metodolojidir.

·  ITIL (Information Technology Infrastructure Library): Temel olarak hizmet yönetimi için saptanmış bir yaklaşım olan ITIL, BT hizmetleri ile iş ihtiyaçlarının arasındaki uyum seviyesini BT Kalitesi (IT Quality) olarak açıklamaktadır. [6]

·  İç Kontrol – Tümleşik Çerçeve (Internal Control – Integrated Framework): COSO (The Committe of Sponsoring Organizations of the Treadway Commission) tarafından yayınlanan yaklaşım yöneticilerin mevcut kontrol sistemlerini ölçebilmelerini, bu sistemleri geliştirebilmelerini ve kurumsal hedeflerine ulaşabilmelerini sağlayan bir yöntem olarak duyurulmuştur.[7]

Temel olarak farklı yaklaşımlar olsalar da COBIT, ITIL ya da İç Kontrol – Tümleşik Çerçeve birbirleriyle uyumlu halde kullanılabilecek yaklaşımlardır. ITIL, BT süreçlerine odaklanıp süreçlerin yaratılması aşamasında hangi konuların dikkate alınması gerektiğini açıklarken ve İç Kontrol – Tümleşik Çerçeve firmaların iç kontrol sistemlerine ve süreçlerine odaklanırken, COBIT konulara daha yukarıdan bakmaktadır. Örneğin, bir yardım masasının müşterilerin sorunlarıyla nasıl ilgileneceği konusu ITIL yaklaşımının konusuyken, firmanın hedefleri, stratejisi ve iş ihtiyaçları COBIT yaklaşımının ilgi alanına girmektedir. Uygulamanın içindeki pek çok firma bu yaklaşımların tek başlarına ihtiyaçları karşılamaktan uzak olduklarını, bu yaklaşımların içerdikleri bilgi güvenliği konularının günlük işlemlere uygun olacak şekilde derlenip birleştirilmesi gerektiğini düşünmektedir. Örneğin, Lockheed Martin firması BT kontrollerini ölçmek ve değerlendirmek amacıyla COBIT, BT hizmetlerini geliştirmek için ITIL yaklaşımlarını kullanırken BT Güvenliği ve Yönetişimi için ISO 27001 standardını kullanmayı tercih etmektedir[8].

Sarbanes-Oxley Yasası’nın çıkmasıyla birlikte halka açık pek çok firma kaynaklarının önemli bir kısmını bu yasaya uyumlu hale gelmek amacıyla kullanmıştır. Oldukça zor bir süreç olan yasaya uyumlu hale gelme çalışmaları bir bakıma iş süreçlerinde iyileştirme girişimi olarak değerlendirilmelidir. Firmaların harcamış oldukları kaynakların sonucunda bu firmalar, koymuş oldukları hedeflere ulaşma konusunda süreçleri kontrol ederek ve iyileştirerek katkıda bulunan iç kontrol sisteminin önemini kavramışlar, geliştirilen süreçlerle birlikte hem işletme içi etkinlik hem de etkililik artmıştır.[9]

5.                 Türkiye’de Durum

Bilgi ekonomisinin iyiden iyiye kendini hissettirdiği günümüzde, ülkemizde de bu alanda çeşitli uygulamalar göze çarpmaktadır. Bilgi ekonomisinin bir bileşeni olarak kabul edebileceğimiz “bilgi ve iletişim teknolojilerinin iş hayatına nüfuzu” hızla popüler olan bir konu haline gelmiştir. Firmaların iş hedeflerine ulaşmaları amacıyla bilgi ve iletişim teknolojilerini yaygın bir şekilde kullanmaları, doğal olarak bazı yasal düzenlemeleri de gerektirmektedir. Bundan dolayı, başta bankacılık sektörü olmak üzere çeşitli alanlarda bilgi ve iletişim teknolojilerinin etkin ve etkili kullanımının sağlanması amacıyla bazı yasal düzenlemeler yapılmıştır.

5.1.                        Bankacılık Sektörü ve BDDK Düzenlemeleri

Bilindiği üzere bankacılık sektörü, bilgi teknolojilerinin kullanımında lokomotif sektör olarak yenilikleri en yakından izleyen sektör olmaktadır. Bankaların iş hedeflerine ulaşmak amacıyla hemen hemen bütün süreçlerinde bilgi teknolojilerinden faydalanmaları, onları bu konulardaki risklere karşı her zaman hazırlıklı olmak zorunda bırakmaktadır.

Ülkemizde düzenleme ve denetim faaliyetleri ile finansal piyasalarda güven ve istikrarı sağlamaya çalışan BDDK bankaların maruz kaldıkları risklerin izlenmesi ve kontrolünün sağlanması amacıyla, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uyabilen yeterli ve etkin iç sistemler kurmalarını sağlamak amacıyla 2006 yılında “Bankaların İç Sistemleri Hakkında Yönetmelik” adlı yönetmeliği yayımlamıştır. Söz konusu yönetmelik, banka yönetim kuruluna veya onların belirleyeceği iki üyeye bağlı olarak çalışan iç kontrol sisteminin kurulmasını öngörmüştür. Yönetmelikte, kurulması öngörülen sistemin temel amacı, bankanın varlıklarının korunmasını, faaliyetlerin etkin ve verimli bir şekilde Bankacılık Kanununa ve ilgili diğer mevzuata, banka içi politika ve kurallara ve bankacılık teamüllerine uygun olarak yürütülmesini, muhasebe ve finansal raporlama sisteminin güvenilirliğini, bütünlüğünü ve bilgilerin zamanında elde edilebilirliğini sağlamak şeklinde ifade edilmektedir[10]. Böylece, banka içinde işlevsel görev ayrımları net bir şekilde tesis edilmekte, sorumluluk paylaşılmakta raporlama ve bilgi sistemlerinin etkin bir şekilde çalışması sağlanmaktadır.

Amerika Birleşik Devletleri’nde kabul edilen Sarbanes-Oxley Yasası gibi halka açık tüm firmaları kapsamasa da ülkemizde BDDK’nın hazırlamış olduğu “Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik” bankaların bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerin denetimini öngörmektedir. Söz konusu yönetmelik, bazı yeni uygulamalar getirmekle birlikte bankaların yönetmelikte hüküm bulunmayan hallerde çalışmamızda belirtilen Bilgi Teknolojilerine İlişkin Kontrol Hedefleri (COBIT) dokümanına göre denetlenmesine olanak vermektedir[11].  Bu iki yönetmeliği tamamlayıcı nitelikte olarak kabul edilebilecek taslak halindeki “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” ile de bilgi sistemleri yönetiminde iç kontrol sisteminin öneminin altı çizilmektedir[12].

5.2.                        Diğer Gelişmeler

Ülkemizin bilgi toplumu olabilme çabası içinde atılmış en somut adımlar olan Devlet Planlama Teşkilatının (DPT) koordinasyonundaki “e-Dönüşüm Türkiye Projesi” ve yine DPT’nin hazırlamış olduğu “Bilgi Toplumu Stratejisi” bilgi ve iletişim teknolojilerinin gündelik hayatta yaygın bir şekilde kullanımını sağlamaya yönelik çalışmalardır.

Bu çalışmalar kapsamında bulunan “Elektronik Fatura ve Elektronik Defter Uygulaması” çok geniş bir kitleyi ilgilendirmesi ve doğrudan ticari hayatı etkilemesinden dolayı, dikkatlice irdelenmesi gereken bir çalışmalardır[13]. 01/04/2005 tarihli ve 25578 sayılı Resmi Gazete'de yayımlanan 2005/05 sayılı Yüksek Planlama Kurulu Kararıyla uygulamaya konulan e-Dönüşüm Türkiye Projesi 2005 Eylem Planında 49 nolu “Elektronik faturanın kullanım usul ve esaslarının belirlenmesine yönelik hazırlık çalışmalarının yapılması” ve 50 nolu “Ticari defterlerin elektronik ortamda tutulması” eylemlerin sorumluluğu Maliye Bakanlığına verilmiştir. Bu eylemler kapsamında, Elektronik Muhasebe Kayıtları Arşiv Sistemi (EMKAS) uygulamasında kayıtların XML formatında alınmasına ilişkin çalışmalar bitirilmiştir[14].

Elektronik Fatura ve Elektronik Defter Uygulaması çalışmalarının tamamlanmasıyla birlikte, bilgi ve iletişim teknolojilerinin ticari hayatın çok önemli bir kısmına nüfuz etme işlemi de gerçekleştirilmiş olacaktır. Bununla birlikte, söz konusu işlemlerin mevcut süreçlerin dışında bilgi ve iletişim teknolojileri vasıtasıyla halledilebilecek olması firmalar için yeni kontrollerin kurulmasını zorunlu hale getirecektir. Süreçlerin işleyişinin kontrolünden sorumlu bir iç kontrol sisteminin kurulması ve COBIT benzeri bir metodolojinin süreçlerin kontrolünde ve iyileştirilmesinde kullanılması, firmaların kapasiteleri dikkate alındığında pek çok firma için uygulanması gerçekçi bir yaklaşım olmaktan uzaktır. Buna karşın, bilginin değerinin anlaşılması, bilgi üretirken süreçlerin etkin çalışıp çalışmadığının kontrol edilmesinin gerekliliğinin farkındalığı her firma için önemli konulardır. Etkili bir yönetim sağlamak için etkin bir denetim mekanizmasının gerekli olduğu unutulmamalıdır. Bu mekanizmanın oluşturulması büyük firmalarda ayrı bir yapının kurulmasını zorunlu hale getirirken, küçük firmalarda mevcut iş ve sorumluluk tanımlamalarının yeniden yapılandırılmasıyla başarılabilecektir.

6.                 Sonuç ve Değerlendirme

Risklerin belirlenmesi ve bu risklerin gerçekleşmesini önleyecek tedbirlerin alınması, süreçlerin kontrol edilerek iyileştirilmesi benimsenecek bir iç kontrol mekanizmasının önemli yararlarındandır. Bununla birlikte, bir işletmenin belirlediği strateji ve hedefleri doğrultusunda kaynaklarını ne kadar etkin kullandığı iç kontrol sisteminin sorumluluk alanına girmektedir. Kaynakların etkin kullanımının işletmenin koymuş olduğu hedeflere ulaşmasında birincil derecede öneme sahip olduğu düşünülürse, iç kontrol sisteminin firma stratejisine hizmet eden bir sistem olduğunu söylemek yanlış olmaz.

Firmaların iç kontrol sistemini oluşturmaları ve etkin bir şekilde çalışmasını sağlamaları konularındaki girişimler yasal düzenlemelerle hızlandırılmaya çalışılsa da firmaların bunun sadece bir yasal uyumluluk süreci olmadığını, iyi çalışan bir iç kontrol sisteminin belirlemiş oldukları hedeflere ulaşmaları konusunda doğrudan etkili olduğunun farkına varmaları gerekmektedir. Bu farkındalık firmaların üretim sistemleri olan iş süreçlerinde sürekli gelişme sağlayacak ve karlılıklarını doğrudan etkileyecektir.

Sahip olunması gereken güvenlik prosedürleri ve kontrolleri konusunda firmalara yardımcı olan çerçeve yaklaşımlar, iç kontrol sisteminin oluşturulması ve etkin çalışması konusunda firmalara yol göstermektedir. Bu amaçla yola çıkan bir firmanın, hangi yaklaşımın daha iyi olduğu konusundaki karşılaştırmalara yer veren raporları okumak yerine, her bir yaklaşımın temel özelliklerini anlayıp, firmanın kendi ihtiyaçlarını en uygun şekilde karşılayacak yapıyı oluşturması gerekir. Bu çalışmada daha önce belirtildiği gibi, birden fazla yaklaşımın firma yapısına uygun olarak kullanılması sıkça karşılaşılan ve tercih edilen bir durumdur. Burada önemli olan konu firmanın kendi yapısını, stratejisini ve hedeflerini bilmesi gerekliliği ve bahsi geçen yaklaşımların birer standart olmadıkları gerçeğidir. COBIT, ITIL ya da İç Kontrol – Tümleşik Çerçeve gibi yaklaşımlar bütün firmalarda eksiksiz bir şekilde uygulanması gereken standartlar değillerdir.

Ülkemizde sadece bankaların bilgi sistemleri ile finansal veri üretimine ilişkin süreç ve sistemlerinin denetimi söz konusu olmasına rağmen, başka sektörlerde faaliyet gösteren firmaların da ilgili bir yasal düzenlemeyi beklemeksizin içyapılarında gerekli düzenlemeleri yapmaları gerekmektedir. Diğer yandan, firmaların süreçlerinin kontrolünü ve iyileştirilmesinde rol alacak bir kontrol sisteminin kurulmasının yasal bir zorunluluk olarak algılanmaması ve böyle bir sistemin firmanın hedeflerine daha etkin bir şekilde ulaşmasını sağladığının bilinmesi gerekmektedir.

Sonuç olarak, ülkemizde bilgi teknolojileri kurumsal bazda daha da yaygınlaştıkça, özellikle KOBİ’ler için kurumsal bilgi sistemleri vazgeçilmez hale geldikçe orta dönemde bu sistemlerde tutulacak kayıtların hukuki geçerlilik kazanması ve kamu nezdinde ticari defterler yerine geçmesi gerekecektir. Bu denetimlerin Maliye Bakanlığınca yapılacak hukuki bir düzenlemeye dayanılarak ve Bakanlıkça akredite edilmiş özel kuruluşlar kanalıyla yapılması ihtiyacı ortaya çıkacaktır. Bu eğilim ülkemizde yeni bir sektörün doğması anlamına gelmektedir.


KAYNAKÇA

[1] LAINHART IV, John W, “An IT Assurance Framework For The Future”, Ohio CPA Journal, Jan-Mar 2001, s. 19

[2] SAINT-GERMAIN, R., “Information Security Management Best Practice Based on ISO/IEC 17799”, Information Management Journal, Jul/Aug 2005, s. 60

[3] HAWKINS, Kyleen W, S. ALHAJJAJ, Sharon S. KELLEY, “Using COBIT To Secure Information Assets”, The Journal of Government Financial Management, Summer 2003, s. 22

[4] O’LEARY, K., “Done To Death? Sarbanes Oxley Compliant Systems”, Accountancy Ireland, Aug 2005, s. 80

[5] THIBODEAU, P., “IT Auditors Turn To Cobit For Sarb-Ox Guidance”, Computerworld, May 15, 2006, s. 9

[6] ROBINSON, N., “IT Excellence Starts With Governance”, The Journal of Investment Compliance, Vol. 6, 2005, s. 1

[7] COSO,  http://www.coso.org/publications/, erişim Tarihi: 03 Nisan 2007

[8] VIOLINO, B., “Sorting The Standards”, Computerworld, Apr 17, 2006, s. 46

[9] MARQUIS, H., “ITIL: What It Is And What It Isn’t”, Business Communications Review, Dec 2006, s. 49

[10] LANGER, Daniel B., POPANZ, T., “Sustainable Compliance”, The Internal Auditor, Feb 2006, s. 54

[11] Bankacılık Düzenleme ve Denetleme Kurumu, “Bankaların İç Sistemleri Hakkında Yönetmelik”, 2006

[12] Bankacılık Düzenleme ve Denetleme Kurumu, “Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik”, 2006

[13] Bankacılık Düzenleme ve Denetleme Kurumu, “Taslak Halindeki Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”, 2006

[14] DPT, “e-Dönüşüm Türkiye Projesi 2005 Eylem Planı Sonuç Raporu”,2006

 



[1] Lainhart, 2001: s.19

[2] Saint-Germain, 2005: s.60

[3] Hawkins, 2003: s.22

[4] O’leary, 2005: s.80

[5] Thibodeau, 2006: s.9

[6] Robinson, 2006: s.1

[7] COSO, http://www.coso.org/

[8] Thibodeau, 2006: s.9, Robinson, 2006: s.1, Violino, 2006: s.46, Marquis, 2006: s.49

[9] Langer, 2006: s.54

[10] Bankacılık Düzenleme ve Denetleme Kurumu, “Bankaların İç Sistemleri Hakkında Yönetmelik”, 2006: md.9

[11] Bankacılık Düzenleme ve Denetleme Kurumu, “Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik”, 2006: md.30

[12] Bankacılık Düzenleme ve Denetleme Kurumu, “Taslak Halindeki Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”, 2007: md.4

[13] DPT, e-Dönüşüm Türkiye Projesi 2005 Eylem Planı, <http://www.bilgitoplumu.gov.tr/2005EP/2005EylemPlani.pdf>, 2005

[14] DPT, e-Dönüşüm Türkiye Projesi 2005 Eylem Planı Sonuç Raporu, <http://www.bilgitoplumu.gov.tr/2005EP/Rapor/2005EylemPlani_Sonuc_Raporu.pdf>, Mayıs 2006, sayfa 86