İletişim ve BT alanındaki gelişmelere bağlı olarak Kamu sektöründe değişim hızlı bir şekilde devam etmektedir. Özellikle vatandaşa verilen hizmetler bağlamında BT kullanımı artarak önemli bir rol almıştır. BT kullanımının artması ve gelişen teknolojiyle beraber BT süreçleri daha karmaşık bir yapıya dönüşmüştür. İşte bu karmaşık yapıların sorunsuz bir şekilde işleyebilmesi adına BT Denetimleri çok önemli bir fonksiyona sahip olmaya başlamıştır.
BT Denetimleri öncelikli olarak kurumdaki bilginin güvenliğini, bütünlüğünü ve ulaşılabilirliğini sağlamakta; ikincil olarak ta hesap verebilirlik ve yasalara uyum gibi çok önemli fonksiyonlar konusunda makul güvence vermeyi hedeflemektedir. BT denetimi, BT süreçlerindeki eksikliklerin tespiti anlamında en önemli mekanizmadır. Bu sebeplerden ötürü son dönemlerde özellikle Kamu kurumlarında BT Denetimi yaygınlaşmaktadır.
BT denetiminin kamudaki öncüleri Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) ve Türkiye Cumhuriyeti Merkez Bankası (TCMB) olarak ifade edilebilir. Bundaki en önemli etken ise bilgi teknolojilerinin bankalarda daha fazla ve aktif bir şekilde uzun yıllardır kullanılıyor olması gösterilebilir. BDDK ve TCMB’deki BT denetimi geçmişi 2000’li yıllara dayanmaktadır.
Bankacılık sektörü dışında kamuda BT Denetimi Sayıştay ve Maliye Bakanlığı’na bağlı bulunan İç Denetim Koordinasyon Kurulu (İDDK) tarafından koordine edilen iç denetim birimleri tarafından gerçekleştirilmektedir.
Ülkemizde uzun yıllardır mali denetim yapan Sayıştay 2013 yılında çıkardığı Bilişim Sistemleri Denetimi Rehberi ile BT denetimleri yapmaya başlamıştır. Bu denetimlerle Sayıştay; mali denetim sürecine destek vermeyi, sistemlerin kontrol zayıflıklarını belirlenmeyi ve öneriler sunulması yolu ile kuruma katkı sağlamayı ve bilgi sistemleri konusunda kamuoyuna ve parlamentoya bilgi sunmayı amaçlamaktadır.
İç denetim birimleri ise Ülkemizin hemen hemen tüm kamu idarelerinde bulunmakta olup kamu kaynaklarının etkili, ekonomik ve verimli kullanılmasını amaçlayan denetim örgütleridir. 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu’nun yayımlanması ve Avrupa Birliği ile 2005 yılında müzakerelerin başlaması ile birlikte 2007 yılında iç denetim birimleri kurulmaya başlamıştır. İç denetim birimlerinin 5 denetim türünden bir tanesi de Bilgi Teknolojileri Denetimi’ dir.
İDKK 2014 yılında çıkardığı Kamu Bilgi Teknolojileri Denetimi Rehberi ile iç denetimde BT denetiminin ne kadar önemli olduğuna bir kez daha vurgu yaparak kamu idarelerindeki BT Denetimleri için iç denetçilere yol göstermiştir. Ayrıca kamuda BT Denetimi uygulamalarının hayata geçirilmesi ile BT kullanımından kaynaklanan risklerin kurum bazında değerlendirilmesi, kurumlarda BT kontrol ortamının etkinliğinin araştırılarak kontrollere ilişkin eksikliklerin ve iyileştirme fırsatlarının tespit edilmesi, tespit edilen bulgu ve önerilerden hareketle kurumların BT stratejilerine girdi sağlanması, BT yönetişimi ve BT yönetimi alanlarında dünya ve ülke çapında kabul gören öncü uygulamaların hayata geçirilmesine destek sağlanması, bilgi güvenliği, veri gizliliği vb. hususlarda mevzuat uyumluluğunun sağlanmasına destek verilmesi ve kamu iç denetiminde bütünleşik denetim yaklaşımının benimsenmesine destek sağlanması ve diğer denetim türlerinin etkinliğinin arttırılmasının hedeflenmekte olduğu değerlendirilmiştir.
Kamu Bilgi Teknolojileri Denetim Rehberinde toplam üç seviye yetkinlikten bahsedilmektedir. 1.Seviye Başlangıç seviyesi; 2.Seviye Gelişmekte olan seviye ve 3. Seviye ise uzman seviyesi olarak tanımlanmaktadır. 3. Seviye yetkinliğe sahip bir iç denetçinin BT denetiminin her aşamasını gerçekleştirebileceği belirtilmiştir. Sadece ISACA tarafından verilen Uluslararası Sertifikalı Bilgi Sistemleri Denetçisi (Certified Information Systems Auditor CISA) sertifikası sahibi bir iç denetçinin 3.seviye BT denetimi yapabilmesini uygun görmüştür.
BT denetimi konusunda uzmanlığın en önemli göstergelerinden biri olan CISA sertifikası, ISACA tarafından hem denetim anlamında hem de Bilgi Teknolojileri alanında yeterli deneyim koşullarını sağlayan denetçilere verilmektedir. Bu sertifika ile bireyler, bilgi sistemlerinin denetim süreci, yönetimi ve yönetişimi, edinimi, geliştirilmesi ve kurulması, işletimi bakım ve desteklenmesi ile bilgi varlıklarının korunması gibi konularda uluslararası düzeyde tanınırlar. Söz konusu konular ISACA’ nın tanımladığı BT yetkinlik modeliyle de birebir örtüşmektedir.
BDDK ve MB’ de BT konusunda personelin uzmanlığa geçebilmesi için CISA sertifikası alması şart koşulmuştur. Diğer kurumlarda yazılı ve sözlü sınav ya da tez aşamaları mevcutken bu derece önemli kurumlarda uzmanlığa geçiş için CISA Sertifikası alınmasının şart koşulması aslında sertifikanın önemini açıkça ortaya koymaktadır.
Bu çerçevede CISA Sertifikası’ nı sadece girilen bir sınav ya da unvan olarak düşünmemelidir. Aksine kurumda BT süreçlerinin ve süreç içerisindeki tehditlerin ve önlemlerin öğrenilmesi, denetim esaslarının uygulanabilmesi, yönetişimin etkin bir şekilde ele alınması ve BT projelerinin yürütülmesindeki püf noktalarının anlaşılması adına dünya çapında kabul görmüş en önemli öğrenme aracıdır. CISA Sertifikası BT Denetimi alanında en prestijli sertifika olma özelliğini yıllardır korumakta ve önemi her geçen gün artmaktadır.
Tolga ÖZBİLGE
Aile, Çalışma ve Sosyal Hizmetler Bakanlığı
İç Denetçi, CISA
Isaca Ankara Chapter, Kamudan Sorumlu Yönetim Kurulu Üyesi
Referanslar:
Kamu Bilgi Teknolojileri Denetimi Rehberi