GTAG®

GLOBAL TEKNOLOJİ DENETİM REHBERİ

GTAG 17-Bilgi Teknolojisi (BT) Yönetişiminin Denetimi

Uluslararası İç Denetçiler Enstitüsü

1
Global Teknoloji Denetim Rehberi (GTAG®) 17

BT Yönetişiminin Denetimi

Temmuz 2012

2
İçindekiler Tablosu

Yönetici Özeti 4

1-Giriş 7

2-BT Yönetişim Riskleri 16

3-Kurum ile BT’nin Uyumlaştırılması – Ana Unsurlar 24

4-BT Yönetişiminde İç Denetimin Rolü 30

Sonuç 35

Yazarlar ve Gözden Geçirenler 36

EK – BT Yönetişim Risk Değerlendirmesi / Görev Planlamasına İlişkin Değerlendirmeler 37

3
Yönetici Özeti

Uluslararası İç Denetçiler Enstitüsü’nün (IAA) yayımladığı Uluslararası Mesleki

Uygulamalar Çerçevesinde (IPPF) tanımlandığı şekliyle, yönetişim “bir kurumun amaçlarının
gerçekleştirilmesi için kurumun faaliyetleri hakkında bilgilendirme yapmak, bunları
yönlendirmek, yönetmek ve izlemek için kurul1 tarafından uygulanan süreç ve yapıların
birleşimidir”. Kurumsal yönetişimle ilgili güvence ve danışma hizmetleri sunarak kurum
amaçlarının gerçekleştirilmesinde önemli katkılar sağlayan iç denetim birimi, kurum içinde
özgün bir yere sahiptir ve kadrosu da buna uygun bir şekilde belirlenir. Genelde bu aşamada
gösterilen çabaların odak noktasında yönetişim hizmetlerinin verilmesi vardır ve çoğu zaman
BT bileşeni ya eksik kalmaya ya da göz ardı edilmeye devam edilir. Teknolojik gelişmelerin
hızında görülen sürekli değişimle beraber BT’nin yaygınlaşması ve kurumların BT bileşenine
olan bağımlılığı birlikte ele alındığında, iç denetim biriminin doğası gereği yüksek risk
barındıran bu alanı neden özellikle ele alması gerektiği açıktır. Bu bağlamda, IIA tarafından
yayımlanan Standart 2110: Yönetişim başlıklı rehberden bir alıntı yapılabilir: “iç denetim
birimi, kurumun bilgi teknolojisi yönetişiminin kurumun stratejilerini ve amaçlarını
destekleyip desteklemediğini değerlendirmelidir.”

Finansal kaynaklar ve insan kaynaklarının yönetişimi alanlarında destek sağlayan BT bileşeni,

kurumsal bilgi bağlamında çok daha önemli bir rol oynar. Bir kurumun bilgi ve teknolojik
bileşenleri o kurumun en önemli varlıkları arasındadır. BT sistemleri tarafından saklanan,
işlenen ya da üretilen bilgilerin uygun bir yönetişimle ele alınmamasının kurum üzerinde ceza
ve yaptırımlardan kurumun itibarının zedelenmesine kadar önemli bir dizi olumsuz etkisi
olabilir. Zedelenen bu itibarın yeniden inşa edilmesi ise zaman, enerji ve para gerektirir.
Birçok kurumda, BT’nin yalnızca günlük BT hizmetlerinin sunumundan sorumlu olduğu
düşüncesiyle üst yönetim ile BT arasında bir kopukluk vardır.

Yapılan bir araştırma2 kurumun amaçlarıyla BT arasındaki uyumlaştırma düzgün yapıldığında

yatırım getirisinde3 (ROI) % 20’ye varan bir artış gözlemlendiğini göstermektedir. Kurumsal

1
Bu GTAG rehberinde kullanılan “kurul” kelimesi Standartlar sözlüğünde şöyle tanımlanmaktadır: Kurul;
yönetim kurulu, denetim kurulu, daire başkanı ya da yasama organı, kâr amacı gütmeyen bir kurumun yöneticiler
kurulu ya da tröstler kurulu gibi bir kurumun yönetim organıdır ya da iç denetim yöneticisinin işlevsel olarak
rapor vermesi gereken denetim komitesi de dâhil bir kurumun atanmış organıdır.

2
Kaynak: Accenture, ISACA/IT Yönetişim Enstitüsü, Peter Weill ve Jeanne Ross.

4
amaçlarla BT’nin uyumlaştırılması teknolojiye kıyasla daha çok yönetişimle ilgilidir.
Yönetişim; alternatiflerin değerlendirilmesini, faaliyetlerin usulüne uygun icra edilmesini ve
bu faaliyetlerin sonuçlarının izlenmesini sağlar. Aynı kavram ve aşamalar BT yönetişimi için
de geçerlidir.

BT yönetişiminin artan önemini desteklemek için ve İç Denetim Mesleki Uygulamaları için

Uluslararası Standartlar (Standartlar) belgesinin emredici niteliği gereği, bu GTAG rehberi,
iç denetçilere, verecekleri güvence ve danışma hizmetlerinde sorumluluklarını yerine
getirebilmeleri için gerekli olan ve hem kamu kesimi kurumları hem de özel sektör için
geçerli kurumsal bilgileri vermektedir. BT yönetişimi iç denetçilerinin ele alması gereken bazı
ana alanlar şunlardır:

 BT Yöneticisi (yani Bilgi Yöneticisi, Teknoloji Yöneticisi, Bilgi Güvenliği Yöneticisi)

ile bağlantılı roller ve sorumluluklar
 Hesap verebilirlik ve karar alma
 BT işlemleri ve projelerinin finansal yönetimi de dâhil olmak üzere BT
performansının izleme ve raporlama ölçütleri
 BT’nin kurumsal strateji ve amaçların gerçekleştirilmesini nasıl sağladığı ve
desteklediğini CxO4 düzeyinde anlamak
 BT ile kurum arasında uyumlaştırma
 BT yönetişim riskleri ve kontrolleri

Bunlara ek olarak, iç denetçiler, yönetişim süreçleri boyunca iç denetim faaliyetinin

rolü/rolleri ve kuruma sağlayacağı değerlerin nasıl en yüksek düzeye taşınacağı konularında
kurula ve yönetim ekibine yardım etme ve onları eğitme görevlerinin zorluklarıyla da
karşılaşabilirler.

Bu GTAG rehberi, BT’nin kurum strateji ve amaçlarını desteklemesi için gerekli olan mevcut
yönetişim alanlarını kapsar. Dengeli sonuç kartları, olgunluk modelleri ve kalite sistemleri
gibi etkili yönetişim ve performans çerçevelerine ilişkin unsurları da tanımlamaktadır. Bu

3
ROI: Bir yatırımın etkinliğini değerlendirmek ya da bir dizi farklı yatırımın etkinliğini karşılaştırmak için
kullanılan bir ölçüttür. ROI’yi hesaplamak için bir yatırımın faydaları (getiri) yatırımın maliyetine bölünür ve
sonuç yüzde ya da oran olarak ifade edilir.
4
CxO ifadesi farklı yöneticiler için kullanılır. C harfi yöneticiler ve icra/tepe/üst yönetim kadroları için
kullanılan bir terimdir. Kamu kesiminde farklı başlıklar kullanılsa da bu GTAG rehberinde ele alınan konu hem
kamu kesimi hem de özel sektör için geçerli bir konudur.

5
rehberde BT yönetişim riskleri, denetim planlama, teyit etme, test etme ve pratik denetim
programlarının geliştirilmesi için yararlı raporlama eylemlerini ele alan örnek kontrollerden
de bahsedilmektedir. Son olarak, bu GTAG rehberi, görev kapsamının tanımlanmasını,
denetim amaçlarının belirlenmesini ve ilgili risk ve kontrollerin değerlendirilmesini
sağlayarak BT yönetişim denetimlerini kolaylaştıracak öneriler sunar.

IPPF, BT yönetişimini şöyle tanımlar: “BT yönetişimi; liderlik, kurumsal yapılar ve

kurumun [BT] işlevinin kurumsal stratejiler ve amaçları desteklemesini sağlayan
süreçlerden oluşur.”

6
1. Giriş

Bu rehberin amacı, BT yönetişimi hakkında iç denetçinin farkındalığını ve kavrayışını

artırmak ve Standart 2110 uyarınca öngörülen iç denetim görevleri bağlamında yönetişimin
nasıl ele alınacağı hususunda rehberlik yapmaktır.

1.1 BT Yönetişimi Nedir?

BT yönetişimi, stratejik planda tanımlanan kurum ihtiyaçları ile BT işlemleri ve BT projeleri

arasında uyumu sağlamak için BT işlemlerinin ve BT projelerinin yönetilmesidir. BT ile
kurumun usulüne uygun uyumlaştırılması şu demektir: 1) Kurum yönetimi BT potansiyelini
ve bunun sınırlarını anlar. 2) BT birimi, kurumun amaçlarını ve buna karşılık gelen ihtiyaçları
anlar. 3) Bu anlayış uygulanır ve uygun bir yönetişim yapısı ve hesap verebilirlik kriteri
vasıtasıyla kurum içinde izlenir. BT’nin değerinin ve maliyetinin anlaşılması kurul, üst
yönetim ve BT yönetimi için önemlidir. Kurum ile BT arasında başarılı bir uyumlaştırma,
kurumun amaç ve hedefleri ile kurumun ihtiyaçları uyumlaştırıldığında ve BT bu ihtiyaçları
yönetimle birlikte karşılayabildiğinde sağlanır.

1.2 IIA Standartları

Standart 2110 şöyle der: “iç denetim birimi, aşağıdaki amaçların gerçekleştirilmesi için
yönetişim sürecini geliştirecek değerlendirmeler yapar ve uygun tavsiyeler verir:

 Kurum içinde uygun etik ve değerlerin teşvik edilmesi,

 Etkili kurumsal performans yönetimi ve hesap verebilirliğin sağlanması,
 Risk ve kontrol bilgilerinin kurumun uygun birimlerine bildirilmesi,
 Kurul, iç ve dış denetçiler ve yönetimin arasında faaliyetlerin koordinasyonu ve bunlar
arasında iletişimin sağlanması.”

Birçok IIA standardında BT bağlamında iç denetçinin rolüne ilişkin bilgiler verilmiştir, ancak
hiçbirisi Standart 2110.A2 kadar açık değildir. Bu standart şöyle der:

“İç denetim birimi, kurumun bilgi teknolojileri yönetişiminin kurumun strateji ve amaçlarını
destekleyip desteklemediğini değerlendirmelidir.”

BT yönetişimi, risk iştahı ve tolerans seviyeleri dâhilinde kurumun genel BT risk profiliyle
kurumsal amaçlarının dengelenmesi ve kurumların BT ortamlarını daha iyi yönetebilmelerine

7
yardım edecek kontrol kombinasyonları ve süreçlerinden oluşur. BT yönetişimi, bir kurumun
genel amaç ve hedeflerine ulaşma becerisini artırır. İç denetim birimi, BT yönetişiminin
yapısını, etkinlik ve veriminin geliştirilmesi için BT işlevinin kuruma sonu
sonuç sunma ve tavsiye
verme becerisini değerlendirmelidir.

1.3 BT Yönetişimi – Roller ve Global Standartlar

Kurul ve üst yönetim BT’nin yönlendirilmesi, değerlendirilmesi ve izlenmesinde önemli

rollere sahiptirler (Aşağıda Bakınız: Şekil 1: BT Yönetişim Rolleri, Standartlar ve
Çerçeveler). BT Yönetişim yapısının ve süreçlerinin etkinliği doğrudan doğruya kurul
kurula ve üst
yönetimin bu süreçlerdeki varlığına bağlıdır. Şekil 1, kurumsal yönetişim standartlarından
başlayarak BT yönetişim
netişim standartlarına ve daha işlemsel
şlemsel BT yönetim standartlarına tekabül
eden yönetişim seviyeleriyle ilgili çerçeve ve standartlara ilişkin örnekler sunmaktadır. Etkin
bir BT yönetişim yapısının spesifik ihtiyaçlarını ele almak için çerçevenin
erçevenin farklı seviyeleri
seviyelerinde
farklı araçlara, tekniklere
iklere ve standartlara ihtiyaç duyulur.
duy

Şekil 1: BT Yönetişim Rolleri, Standartları ve Çerçeveleri5

1.4 BT Yönetişimi – Özellikler & Riskler

BT yönetişimi, kurumsal yapı, liderlik ve BT’nin kurumun strateji ve amaçlarını

desteklemesini sağlayacak süreçlerden oluşur. BT Yönetişiminin Beş Bileşeni başlıklı Şekil 2,
etkili BT yönetişiminin önemli beş bileşenini
bileşeni göstermektedir. Bu bileşenler şunlardır:

• Kurum ve Yönetişim Yapıları

Yapı

• Yönetici Liderlik ve Destek

5
CIO: Bilgi Yöneticisi. CTO: Teknoloji Yöneticisi. CISO: Bilgi Güvenliği Yöneticisi

8
• Stratejik ve Operasyonel Planlama

• Hizmet Sunumu ve Ölçümü

• BT Kurum ve Risk Yönetimi

Kurul ve üst yönetim alternatifleri değerlendirir, bunlara yön verir ve kurumsal strateji ve
amaçlarda başarıya ulaşılıp ulaşılmadığını izler.

Şekil 2: BT Yönetişiminin Beş Bileşeni

Kurum ve Yönetişim Yapıları

Açık ve belirgin kurumsal yapılar, bu yapılara ait bileşenlerin operasyonel yapısı, bunların
birbiriyle nasıl iletişim kurduğu ve hesap verebilirlik protokolleri; kurumsal amaçları
gerçekleştirmek için BT’ ye yapılan yatırımlar esasında gerekli türde ve düzeyde hizmetleri
BT’nin sağlayabilmesi için gerekli unsurlardır. Ek olarak, yönetişim yapısı, kurumsal yapıyla
uyumlaştırılmalıdır. Örneğin stratejik yönetim kurumun genel merkezinde konumlandırılarak
merkezileştirilirse yönetişim yapısı da merkezileştirilmelidir. Ancak kurum âdemi merkezi

9
yapıda olur ve birimler daha bağımsız ya da özerk hareket ederse, yönetişim yapıları da âdemi
merkezileştirilmelidir. BT kurum inşası, daha iyi uyumlaştırmayı sağlayacak ve kurumsal
ihtiyaçları karşılayacak şekilde kurumsal yapıları yansıtmalıdır. Kurul ve üst yönetim, BT ve
CIO’nun yönetişime ilişkin stratejik kararlarda yer almasını sağlayarak BT’nin temel
kararlara değer katmasını sağlamalıdır.

Mevcut kurum ve yönetişim yapıları, kurumun stratejik amaçlarına ulaşmasında BT’nin

destek olup olmadığını ve ona yardım edip etmediğinin iyi bir göstergesidir. Aşağıda verilen
sorular, iç denetçinin mevcut yönetişim yapısının düzeyini ya da varlığını anlamasına
yardımcı sorulardır.

1. Mevcut bir CIO var mı? Bu kişi üst yönetim ekibine dâhil mi?

2. Kurum yapısı ve kurumun operasyonel bileşenleri, BT işlevinin kurumun amaçlarına

ulaşmasına etkin ve verimli bir biçimde yardım edecek şekilde açıkça düzenlenmiş
mi?

3. Kurumsal ihtiyaçları BT hizmetleriyle uyumlaştırmak için hangi karar alma organları

oluşturulmuş, bunlar yeterli yetkiye ve hesap verebilir düzeyine sahip mi?

4. Kurumsal ihtiyaçlar ve BT hizmet yükümlülükleri stratejik ve taktiksel planlarda

belirlenmiş ve bunlar izlenmiş mi? CIO ve üst yönetim, düzenli bir araya gelip
planlarda gözlemlenen gelişmeleri tartışıyor mu?

5. Roller ve sorumluluklar açık ve belirgin bir şekilde tanımlanmış ve bildirilmiş mi?

Kurum liderleri sonuçlar için yetkilendirilmiş ve bunlardan sorumlu tutulmuş mu?

Yönetici Liderlik ve Destek

BT ile kurum arasında uyum sağlamanın ve bu uyumu sürdürmenin en önemli koşullarından

birisi üst yönetim ile yönetici liderliğin uygun üsluba sahip olmasıdır. Kurul, CEO, CIO ve
diğer üst yönetim ekibi üyeleri BT’nin kurumsal amaçları gerçekleştirmeyi nasıl sağladığı ve
nasıl destek olduğu konusunda açık bir vizyon sunmalıdırlar. Bu vizyon, BT harcamalarında
daha etkin bir ROI elde edilmesini sağlar. BT’nin kurum stratejisine açık ve belirgin bir
şekilde uyumlaştırılmasıyla yönetici liderlik BT’yi kurum için ilave, başka bir masraf olarak
değil stratejik bir destekçi olarak görmeye ve desteklemeye başlar. Bu bakış açısı, BT
bağımlılıklarını tanımlayan stratejik planla belgelendirilmelidir. Bu stratejik plan, kurul ve üst
yönetim tarafından yönetilir.

10
Kullanılan üslubun etkinliğini belirlemek, bu üslubun kurum içindeki diğer tüm birimlere
nasıl aktarıldığını ve iletilen mesajların BT işlevi üzerinde nasıl etki ettiğini görmek
önemlidir. Aşağıdaki sorular iç denetçinin BT işlevinin kuruma ne düzeyde entegre edildiğini
görmesine ve anlamasına yardım edecek sorulardır:

1. Stratejik ve taktiksel amaçların kurumsal açıdan gerçekleştirilmesi için BT işlevinin

sahip olması gereken roller ve sorumluluklar üst yönetim tarafından açık ve belirgin
bir şekilde belirlenmiş ve ilgililere bildirilmiş mi?
2. CIO’nun rol ve sorumlulukları açık ve belirgin bir şekilde belirlenmiş ve bildirilmiş
mi?
3. Kurum, BT işlevini günlük bazda yürütülen işlerde kurumu destekleme işlevinin yanı
sıra amaçların gerçekleştirilmesi için önemli bir destekçi olarak gördüğünü
stratejisinde belirtmiş mi?
4. CIO, üst yönetim ekibinin bir üyesi mi? CIO, üst yönetim ve kurul ile düzenli bir
araya gelip stratejik ve taktiksel planlar bakımından BT hizmet sunumunu tartışıyor
mu?
5. Kurumsal ihtiyaçların karşılanması bakımından BT yeterli fonlara sahip mi?

Stratejik ve Operasyonel Planlama

Etkili BT yönetişiminin önemli bir bileşeni olan stratejik ve operasyonel planlama stratejik
planda yer almalıdır. Bu stratejik plan BT’ ye olan kurumsal bağımlılıkları ve planda
öngörülen amaçları gerçekleştirmek için BT işlevinin rolleri ve sorumluluklarını
tanımlamalıdır. Buna karşılık CIO da kurumun stratejik planıyla uyumlu bir taktiksel işletme
planı oluşturmalıdır. Bu işletme planı stratejik planda tanımlanan amaçlara ulaşılmasını
sağlamak ve bunları desteklemek bakımından BT işlevinin nasıl ölçüleceğine dair
mekanizmalar sunar. BT amaçlarının stratejik planda eksik saptanması ve tanımlanması
kurumun amaçlarıyla BT amaçlarının usulüne uygun uyumlaştırılmadığının bir göstergesidir.
Bu eksiklik, kurumun amaçlarına etkin ve uygun maliyetli bir yoldan ulaşamama riskini
artıran bir durumdur. Puan kartları ya da benzer yönetim araçları, stratejik planda tanımlanan
amaçlara ulaşma bakımından gösterilen BT çabalarını izlemek için kullanılabilir. BT’nin
kurumun amaçlarına ulaşmasında nasıl katkı sağladığı ölçülmelidir.

Stratejik performans yönetimi, etkili BT yönetişiminin entegre bir bileşenidir ve kurumun ve

BT hizmet sunumun ihtiyaçlarının uygun yolla yönetilmesi için mekanizmalar sağlar.

11
Aşağıdaki soruları kullanarak iç denetçi stratejik performans yönetiminin üst yönetim
tarafından ne kadar iyi uygulandığına dair bir bakış açısı kazanabilir:

1. Kurul ve üst yönetim BT’yi stratejik kurumsal bir ortak olarak görüyor mu?
2. Kurumun stratejik planı, değer oluşturmak ve desteklemek için BT’nin neden gerekli
olduğunu gösteriyor mu?
3. Stratejik plan, BT gereksinim ve çıktılarını dikkate alan münferit taktiksel işletme
planlarıyla destekleniyor mu?
4. Üst yönetim, BT işlevinin etkinliğini ölçmek ve izlemek için ana performans
göstergeleri (KPI’lar) kullanıyor mu?
5. Stratejik BT yatırım kararları doğru ve tam maliyet/yarar analizleri esas alınarak
yapılıyor ve uygulamanın ardından sonuçlar projelendirilen ROI’nin elde edilip
edilmediğini belirlemek için değerlendiriliyor mu? Alınan dersler gelecekteki BT
yatırım kararları için faktörlere ayrılıyor mu?
6. BT birimi, kurumun büyüklüğü ve kompozisyonuna kıyasla etkili bir şekilde
yapılandırılmış mı?
7. CIO ve BT liderliği kalifiye ve tecrübeli mi?

Hizmet Sunumu ve Ölçümü

BT harcamalarının proaktif idaresi ve elde edilen değerlerin ölçümü, BT yatırımlarından daha

büyük ROI elde etme ihtimalini artırır. BT ölçütleri içeren bir finansal model kurum
tarafından kullanılan performans yönetiminin bir parçası olmalıdır. Performans yönetiminin
önemli bir yanı, doğru verilerin çıkarılıp ölçülmesidir. Finansal verilerin ölçümü, uygun
detayda doğru veri gerektirir. Etkin bir performans yönetim çerçevesi, proaktif ölçüm ve
analiz için gerekli doğru nicel ve nitel verileri bulur ve şeffaflık iyi BT yönetişimi için ilave
güvenceler sağlar. Bu ölçütlere normalde kullanıcılar/müşteriler için sunulan hizmetlerin
ölçümü ile teknik ve teknik olmayan kullanıcı memnuniyeti için sunulan hizmetlerin
ölçümleri de dâhildir.

BT bağlantılı finansal ölçütler; stratejik, operasyonel ve teknik sonuçların ölçümünde önemli

bir rol oynar. BT tarafından sağlanan çıktılar, stratejik ve taktiksel düzeyde elde edilen
değerleri göstermek için ölçülmelidir. Bu ölçümler, BT yönetiminin stratejik plana kıyasla
nasıl bir performans gösterildiğini ve kurumsal birim, iş kolu vs. tarafından verilen BT
hizmetlerinin maliyetinin nasıl daha iyi yönetileceğini anlamasını sağlar.

12
Hizmet sunumu için kullanılan ölçütler finansal yönetimi de içerir. Bu, BT maliyet/yarar
ölçümünü kontrol etmek ve izlemek için kullanılan önemli bir bileşendir. Aşağıda verilen
sorulara verilecek cevaplar BT finansal yönetiminin ne kadar iyi işlev gösterdiğinin bir
göstergesidir.

1. Kurul ve üst yönetim BT maliyetlerine ve bunların kurumun stratejik amaçlarını

gerçekleştirmek için ne tür katkılar sunduklarına dair açık ve belirgin bir bakış açısına
sahip mi?
2. Kurum liderleri BT değer ve çıktılarını ölçüyorlar mı? Nasıl?
3. Diğer benzer kurumlara kıyasla BT maliyetleri ne düzeyde?
4. CIO performansı, finansal veriler ve finansal olmayan verilerle ölçülüyor mu?
5. Mevcut kaynak düzenlemeleri neler? Bunlar ölçülüyor ve izleniyor mu?

BT Kurum ve Risk Yönetimi

BT riskleri ve kaynakları (hem insan hem de teknik) nasıl yönetilir? BT’nin başarısı büyük
ölçüde kurul, CEO ve diğer üst yönetim üyelerinin yönlendirmelerine bağlıdır. Bu
yönlendirme, kurumsal stratejik plan ve yapıyla inşa edilir ve bildirilir.

BT bileşenleri doğası gereği teknik olsa da, BT yönetişim seviyesinin ölçümü daha az teknik
içerir. İç denetçiler, aşağıdaki soruları sorarak BT yönetişim ortamına ilişkin ileri düzeyde bir
anlayış kazanabilirler.

1. Kurumsal süreçler ne ölçüde otomatikleştirilmiş?

2. BT altyapısı ne kadar karmaşık ve ne kadar uygulama kullanılmakta?

3. Veriler standartlaştırılmış mı ve uygulamalar (ve BT altyapısı) arasında kolayca

paylaştırılmış mı?

4. Standart BT donanım, yazılım ve hizmet alım politikaları, prosedürleri ve kontrolleri var

mı?

5. BT yönetim süreçlerinin olgunluk seviyesi ne düzeyde ve bilinen çerçeveler (yani COBIT

BT Yönetişim Çerçevesi, ITIL BT Hizmet Yönetim Çerçevesi, ISO 20000) kullanılmış mı?

6. Kurumsal ihtiyaçlar, güvenlik ve uygunluk kriterleri bakımından riskler nasıl yönetiliyor?

7. BT’nin stratejik önemi ne?

13
Bu temel sorulara verilecek cevaplar iç denetçinin BT yönetişim denetim faaliyeti için gerekli
en iyi kapsamı belirlemek ve faaliyeti en iyi şekilde icra etmek için gerekli temeli inşa
etmesini sağlar.

BT Yönetişimi – Özellikler ve Faydalar

BT yönetişiminin bütün kurum üzerinde etki ve tesiri olabilir.

 Kurum ile BT arasındaki ilişkinin güçlendirilmesi: BT yönetişim yapıları ve

süreçleri, BT kullanımını kurumun genel amaçları ve stratejilerine bağlayacak
mekanizmalar sunabilir. Kurum ile BT arasındaki ilişki kısıtlı kaynakların doğru işe
doğru zamanda kullanılmasını sağlayabilir. Kurum ile BT arasındaki iletişim serbest
akışlı ve bilgilendirici olmalı ve BT’nin kurumsal hedeflerin gerçekleştirilmesine
yardımcı neler sunduğuna ve bu katkı ve çabaların durumuna dair bir öngörü
sunmalıdır. İç denetim birimi, bu uyumu gözden geçirmeli, kuruma ve BT’ ye kaynak
öncelikleri, inisiyatifler ve genel yatırım kararlarında işbirliği yapma imkânı verecek
güçlü portföy yönetim süreçlerinin olup olmadığını belirlemelidir.
 Kurum ve BT’nin Kurumsal Risk Yönetimi: Risk yönetimi, bir kurum içerisinde
etkili bir BT yönetişim yapısı için temel bir bileşendir. BT yönetişimi, kurum risk
yönetimi (ERM) de dahil bir kurumun risk yönetim faaliyetleri için yakın bağlantılar
sağlanmasına yardımcı olur. Uygun tekniklerin, ana paydaşlara yapılan bildirimlerin
statüsü de dâhil olmak üzere BT faaliyetlerine dâhil edilmesi için, BT yönetişimi,
genel kurumsal risk yönetim çabalarının bir parçası olmalıdır. İç denetim, BT risk
profiline uygun önemin verilmesi için kurum tarafından kullanılan risk yönetim
faaliyetlerini gözden geçirmeli ve BT risk yönetimi ile kurum risk faaliyetleri arasında
yeterli bağlantının olup olmadığını belirlemedir. BT Yönetişim Enstitüsü (ITGI)
tarafından geliştirilen Risk BT Uygulayıcı Rehberi, bir yandan BT risklerini
tanımlamak ve değerlendirmek için bir çerçeve sunarken bir yandan da ISACA’nın
COBIT çerçevesine doğrudan bağlantı sağlamaktadır.
 BT Yönetiminin Amaçları Gerçekleştirme Becerisine İlişkin Görünürlük: BT
kurumları, BT işlemlerinin günü gününe etkili ve ödün verilmeden sunulmasını
sağlayarak kurumu destekleyecek stratejileri ve taktikleri tanımlamalıdır. Ölçütler ve
hedefler, BT’nin taktiksel bazda faaliyet göstermesini sağlar ve personele
uygulamaların olgunluk seviyesini geliştirmek için gösterdikleri çabalarda rehberlik
eder. Sonuçlar, BT işlevine kurum liderleri tarafından onaylanan stratejileri icra etme

14
 ve hedefleri gerçekleştirme imkanı verir. İç denetim, BT ölçütleri ve amaçları
arasındaki bağlantının kurumsal hedeflerle uyumlu olup olmadığını, onaylanan
inisiyatiflerde ilerlemenin yeterli düzeyde ölçülüp ölçülmediğini belirler ve ölçütlerin
ilgili ve kullanışlı olup olmadığına dair bir görüş bildirir. Bunlara ek olarak, iç denetim
birimi, ölçütlerin doğru ölçülüp ölçülmediğini ve BT işlemlerine dair gerçekçi görüşler
yansıtıp yansıtmadığını ve yönetişimin taktiksel ve stratejik bazda olup olmadığını
teyit eder.
 BT Yönetişiminin Kurum ve BT Ortamında Gözlemlenen Değişikliklere Karşı
BT’nin Uyumunu Kolaylaştırması: BT yönetişimi, sorumluluklarını daha iyi
yönetmek ve BT personeli için tanımlanmış süreçler ve roller/sorumluluklar
aracılığıyla kuruma destek olmak için BT’ ye bir temel sağlar. Böyle bir resmi süreçle
BT olası anormallikleri günlük bazda ve eğilim belirleme şeklinde daha iyi tanımlama
ve temelde yatan sorunu belirleme imkânına sahiptir. Ek olarak, BT yeni ya da
zenginleştirilmiş kurumsal kapasiteler için dosya bazında yapılan taleplere daha kolay
uyum gösterebilir. İç denetim, BT’nin bilinen sorunları nasıl ele aldığını
değerlendirmek için yardım masası ve problem yönetimi gibi veri kaynaklarını
değerlendirebilir. İç denetim, ihtiyaçlara nasıl öncelik verildiği ve kurumun değişen
ihtiyaçları temelinde ihtiyaçların öncelik sırasını değiştirmek için gereken esnekliğin
olup olmadığını anlamak için de BT portföy yönetim süreçlerini gözden geçirebilir.

İç denetim faaliyetleri kurum içindeki BT yönetişim yapı ve uygulamalarını değerlendirdiği

için etkili BT yönetişimini sağlayan bir dizi temel bileşen değerlendirilebilir:

 Liderlik: Bu bileşen, BT amaçları ile mevcut/stratejik kurumsal ihtiyaçlar arasındaki

ilişkiyi ve BT liderliğinin bu ilişkiyi BT ve kurum personeline etkili bir şekilde
aktarma yeteneğini değerlendirir. Kurumsal stratejik hedeflerin geliştirilmesi ve
süregelen icrasında BT liderliğinin etkinliğini değerlendirir. Kurumun amaçlarına
ulaşmasında BT’nin nasıl ölçüleceğini belirler. BT, kurum içinde rollerin ve
sorumlulukların nasıl tahsis edildiği ve bunların nasıl icra edildiğini gözden geçirir.
Güçlü bir BT yönetişimi kurma ve sürdürmede üst yönetimin ve kurulun rollerini
gözden geçirir.
 Kurumsal Yapı: Kurumsal yapı, kurum yönetimi ile personel arasında etkileşim ve
iletişimin nasıl olduğunu ve kurumun mevcut ve gelecekteki ihtiyaçlarını belirler. Bu,
bir yandan resmi değerlendirme ve öncelik yoluyla ele alınan koşulları sağlama fırsatı
verirken, bir yandan da BT’nin kurumun ihtiyaçlarını karşılamasını sağlayacak gerekli
15
 rol ve raporlama ilişkilerinin varlığını da sağlamalıdır. Ek olarak, BT’nin kurum
inşasında kurum yapısını nasıl yansıttığı da buna dâhil edilmelidir.
 Süreçler: Kurumsal riskleri azaltmak için mevcut BT süreç faaliyetlerini ve
kontrolleri ve bunların süreçler ve temeldeki sistemlere ilişkin gerekli güvenceleri
sağlayıp sağlamadığını değerlendirir. BT ortamını desteklemek ve beklenen
hizmetlerin tutarlı bir şekilde verilmesi için BT kurumu tarafından kullanılan süreçler
nelerdir?
 Riskler: BT ortamındaki riskleri tanımlamak, değerlendirmek ve izlemek/azaltmak
için BT kurumu tarafından kullanılan süreçleri gözden geçirir. Ek olarak, risk
yönetiminde görev alan personelin hesap verebilirlik düzeyini ve kendilerinden
beklenen görevlerin ne ölçüde karşılandığını belirlerler.
 Kontroller: Faaliyetlerini yönetmek ve kurumun genel yapısını desteklemek için BT
tarafından tanımlanan temel kontrolleri değerlendirirler. Sahiplik, belgelendirme,
kendi kendine raporlama özellikleri iç denetim faaliyetince gözden geçirilmelidir. Ek
olarak kontrol kümesi, uygunluk koşullarına ilaveten kurumun risk iştahı ve tolerans
seviyesi esasında belirlenen risklerini ele alacak kadar güçlü olmalıdır.
 Performans ölçümü/izleme: BT desteğinin BT işlemleri ve gelişmelerinde
gözlemlenen iç çıktılar için önemli rol oynadığı kurumsal çıktıları ölçmek ve izlemek
için mevcut çerçeve ve sistemleri değerlendirir.

2. BT Yönetişim Riskleri

ITGI6 tarafından yapılan araştırma, yüksek performans gösteren kurumların BT işlevi ile
kurum arasındaki uyumlaştırmadan sonra daha etkili BT yönetişim programlarına ve
süreçlerine sahip olduğunu stratejik açıdan ortaya koymuştur. Daha özel bir anlatımla, BT
yönetişimini güçlendirmek için kurumların aşağıda sayılan şu bulgulara ve sonuçlara yer
vermesi gerektiği bu araştırmanın sonuçlarıyla ortaya konulmuştur:

 BT hesap verebirliği ve BT yönetişiminin kime ait olduğu.

 CIO’nun idari yapısı mümkün olduğunca doğrudan doğruya üst yönetime bağlı
olmalıdır.
 BT aracılığıyla ortaya çıkabilecek olası inovasyon çalışmalarına daha fazla önem
verilmelidir.
6
Kurum BT Yönetişiminin Global Durumuna İlişkin Rapor (2011), Değerlerin Ortaya Çıkarılması: BT
Yönetişiminin Kritik Rolüne İlişkin Yönetici Kitapçığı (2008) ve ISACA ve ITGI tarafından yayımlanan Ticari
Amaçların BT Amaçlarını Nasıl Yönlendirdiğini Anlamak başlıklı Yönetici Brifingi (2008).

16
  Kurum geneli BT değer ölçümleri mevcut olmalı ve yapılmalıdır.

Bölüm 1 ve 2’de de belirtildiği gibi, BT ile kurumun amaçları arasında uyum, etkili BT
yönetişimin göstergesi olan beş temel bileşen ele alınarak yapılmalıdır. Bu uyum çalışmaları,
BT işlevinin faaliyetleri aracılığıyla BT’ ye kurumsal amaçları desteklemesine usulünce
imkân verecek etkili stratejik yönetim ve kurum yapıları gerektirir. Finansal yönetim ve
performans yönetim birimleri, kurumsal amaçlara ulaşılmasını sağlayacak şekilde BT
faaliyetlerini yönlendirecek, yönetecek ve izleyecek araçlar sağlamalıdır.

Kurumsal yapı, teknolojik inşa mülahazalarıyla birlikte ele alınmalıdır. Teknolojik inşa süreci,
kurumu kurum için değiştirilmesi çok maliyetli ve kurumsal ihtiyaçları yeterince
desteklemeyen büyük yatırımların yapılması gereken bir noktaya taşıyabilir. Kurum ile BT
arasında uyumu sağlamak için maliyet – yarar tartışmaları hem kurul düzeyinde hem de üst
yönetim ekibi düzeyinde yapılmalıdır. Bu kritik unsurların hepsi liderlik ile bağlantılıdır. Üst
yönetim ekibi ve yönetimde yer alan diğer temel üyeler uygun üsluba sahip olmalı ve stratejik
amaçlar ve ROI’nin optimal düzeyde gerçekleştirilmesi için BT ile kurumun nasıl
uyumlaştırılacağına dair sürece açık ve belirgin bir yön belirlemelidirler. Bunun için de üst
yönetimin BT’yi ve onun özelliklerini ve yapısı gerektirdiği riskleri anlaması gerekir.

Aşağıdaki bölümde BT yönetişiminin beş ana bileşenine dair daha fazla bilgi verilmekte,
kurum ile BT arasında yapılabilecek bazı yanlış uyumlaştırmalara ve bunun risklerine dair
bilgi verilmektedir.

2.1 Kurum ve Yönetişim Yapıları

Belirgin kurumsal yapılar ve hesap verebilirlik, BT’nin değer katabilmesi ve kurumun

stratejik amaçlarını karşılayabilmesi için temel şartlardır. BT’den elde edilen ROI doğası
gereği genelde uzun dönemli olduğu ve etkilerini göstermesi zaman aldığı için belirgin bir
kurum yapısının kurulması ve BT işlevinin buna uyumlaştırılması önemlidir. BT işlevinin
rolü, stratejik planda açıkça belirlenmeli ve gerekli kararları almak ve sonuçlardan sorumlu
tutulabilmesi için yönetim yetkilendirilmelidir.

Kurum – İşletme Modeli

Merkezi bir işletme modelinin olduğu durumlarda, standartlar ve süreçler kurumsal birimler
arasında daha kolay uygulanabilir. BT perspektifinden bakıldığında altyapı ve uygulamalar
gibi bileşenler – destekleyici standartlar ve prosedürler dâhil – yeknesak bir yapıda

17
uygulanabilir. Ek olarak, BT altyapısı ve uygulamaları için yapılacak yatırımlarda en uygun
yatırım seçeneklerini seçmek için kurum yapısının nasıl işlediği ve doğal riskler konusunda
CIO’ya kurul ve üst yönetim tarafından bir anlayış kazandırılması önemlidir.

Merkezi yapıda olmayan kurumsal yapılar, ölçeklenebilirlik olasılığını düşürürler, çünkü bu

yapı doğal olarak işletme birimlerine (farklı yasal yapıda ya da coğrafyada bulunan
kuruluşlar) farklı BT altyapı ve uygulama yatırımları yapma imkânı verir. Bu da kurumun
tümünde BT yatırımlarını güçlendirme ve bilgi ve standartları paylaşma imkânını azaltır.
Ancak kurumun merkezi olmayan yapıda olmasının geçerli nedenleri olabilir ve bunların,
kurumsal yönetişim ya da BT yönetişimi ya da yatırımlar üzerinde doğal olarak olumsuz
etkisi olmayabilir.

Yönetişim – Hesap verebilirlik

Başarılı BT yönetişiminin bir özelliği, kurumsal liderlerin hesap verebilir olmasıdır. Kurumsal
yapılar, idari yapıları ve rol sorumluluklarını açıkça belirlemelidir. Kurumun stratejik
hedefleri ve amaçları, operasyonel amaç ve hedeflere doğru yönlendirilmeli ve birim
liderlerine objektif başarı için sorumluluk verilmelidir. Bu sorumluluk, özellikle performans
izleme ile bağlantılandırıldığında şeffaf bir hesap verebilirlik sürecini teşvik eder. Birim
yöneticileri, sorumluluk alanlarındaki kaynakları yönetmekle yetkilendirilmelidir. Bu durum,
yöneticilerin kendilerinden beklenen performans hedeflerine ulaşmalarını sağlar.

Projelere Kıyasla İşlemler

Kurumsal birimler ile BT arasındaki etkileşimler resmi ya da gayri resmi yolla gerçekleşir.
Resmi bir bakış açışıyla düzenli iletişim, kurumsal birimler ve BT liderlerinden oluşan bir
komite aracılığıyla sağlanır. Bu yapının bir gereği olarak her bir birimin amaçlarını
destekleyecek ve bunları daha da ileriye taşıyacak en etkili yöntemleri belirlemek için
kurumsal birim liderleri, CIO ve diğer BT işlevi liderleriyle toplanır. BT ortamı için önemli
değişikliklere ihtiyaç duyulduğunda, bunun için gerekli çabalar üst yönetime rapor veren ayrı
bir proje birimi aracılığıyla yürütülen bir proje olarak organize edilir (Bakınız: GTAG 12:BT
Projelerinin Denetlenmesi).

BT Hizmetlerinin Dış Kaynağa Yaptırılması

Bugün pek çok kurum BT işlevlerini kısmen ya da tümden dış hizmet sağlayıcılara
yaptırmaktadırlar. Bu tür düzenlemelerin birçok faydası olmakla birlikte konu BT’nin

18
stratejik kullanımına geldiğinde riskler de içermektedir. Kaynak sağlayan bir ortağın
idaresi, sadece performansı izlemeyen aynı zamanda kurum içinde hizmet sağlayıcıları
sorumlu tutabilecek uygun yetkiye sahip liderleri de içeren uygun bir yapı gerektirir.
Performans hedefleri, hizmet seviyesi anlaşmaları (SLA’lar) ve puan kartları, BT hizmet
sağlayıcılarını idare etmek ve izlemek için kullanılan bazı araçlardır. Hizmet dış kaynağa
verildiği için üst yönetimin BT hizmetlerinin sunumuna ilişkin nihai sorumluluğunu
bırakmadığını anlamak ve akılda tutmak önemlidir. Aşağıdaki tablo kurum ile BT
arasındaki olası yanlış uyumlaştırmaların bazı göstergelerini listelemektedir.

Kurum ve Yönetişim Yapıları Yanlış Uyumlaştırmanın Sonuçları (Riskler)

Yetki ya da hesap verebilirlik eksikliği Liderlik boşluğu ve olası fırsatların kaybedilmesine
yol açar.
Açık ve belirgin olmayan BT ve operasyonel kurum Yanlış yönetimi teşvik eder ve faaliyetlerin
yapıları birbiriyle çatışmasına neden olur.
BT liderleri ile kurumsal birim liderleri arasında Etkin bir planlama ve izleme sisteminin olmamasına
açık ve belirgin olmayan iletişim kanalları neden olur.

2.2 Yönetici Liderlik ve Destek

BT yatırımları kurumun genel bütçesine kıyasla büyük olabilir ve kurul ve üst yönetimin
mümkün olan en iyi kararın verilebilmesi için maliyet – yarar analizi ve RIO hesaplamalarını
temel olarak almasını gerektirir. Hatalı yatırım kararları risklerini azaltmak için kurum
liderlerinin BT’nin önemli özelliklerini bilmesi ve anlaması gerekir. Bir kurumun BT yapısı, o
kurumun misyonu, vizyonu ve stratejisini doğrudan doğruya yansıtır.

Aşağıdaki tabloda kurum ile BT arasında liderlik ve bilgi bakımından yaşanabilecek olası
kopuklukları gösteren bazı unsurlar listelenmiştir. Uygun BT yatırımlarını yapabilmek için
CIO kurumun vizyon, misyon ve bunlarla bağlantılı stratejisine aşırı derecede güvenir.
Bununla birlikte kurumsal vizyon, misyon ve strateji ile BT’nin kurumsal rolü açık ve belirgin
olmadığında bu güven, BT sermayesinin etkin olmayan bir biçimde kullanılmasına yol açar ve
bu da kurumun amaçlarına ulaşma becerisini azaltır.

Yönetici Liderlik ve Destek Yanlış Uyumlaştırmanın Sonuçları (Riskler)

Üst yönetim ve BT üst yönetimince sunulan açık ve Kurumsal misyonu yerine getirme becerisinin
belirgin bir kurum geneli vizyonun eksikliği olmaması.
Üst yönetimin BT karar alma sürecinde usulüne uygun Kaynakların yanlış yönlendirmesine yol açar.
yer almaması Denetim eksikliği ve yetkinin usulüne uygun olmayan

19

BT üst yönetimince sunulan kurumsal odağın çekirdek
noktasının eksikliği
Üst yönetim ve birim liderleri BT’ ye ilişkin gerçek
bir anlayıştan yoksun olması
BT’nin stratejik öneminin değerlendirilmemesi
bir şekilde tahsisi.
BT çabaları bir odakta toplamayı ya da kaynakların
verimsiz kullanımını saptamayı beceremez.
Fırsatları kaçırma ve BT yatırımlarından düşük getiri
elde etme olasılığı.
BT’nin kurumda rolünün ne olduğunun yanlış
anlaşılması.

2.3 Stratejik ve Operasyonel Planlama

BT yönetişimi kurumsal amaçların (çıktılar) gerçekleştirilmesiyle ilgiliyken BT yönetimi

operasyonel işlere odaklanır ve BT hizmetlerinin yüksek bir kalitede zamanında sunulmasını
sağlar. BT yönetiminin çıktıları daha teknik terimlerle ölçülür. Model bir BT yönetişim
yapısında BT işlevinin performansı sadece operasyonel/taktiksel planlar bakımından değil
aynı zamanda stratejik planda belirtilen kurumsal amaçları gerçekleştirmeye etkisi
bakımından da ölçülür.

BT Projeleri için Stratejik Ölçütler

BT projelerinde BT proje hizmetlerin zamanında sunumu, bütçe ile gerçekleşen harcamaların

kıyaslanması, sunulan çözümlerin maliyet – fayda analizinde belirtilen kurumsal amaçları
gerçekleştirmeye katkı sağlayıp sağlamadıkları gibi kriterlerin verimliliğini ölçmek için
kullanılan ölçütler olmalıdır (Detaylı bilgi için bakınız: GTAG 12:BT Projelerinin
Denetlenmesi). Olası her bir BT yatırımı için yapılacak maliyet – fayda analizi RIO analizi,
dönüştürme analizi ve faydaları içermelidir. Girdiler ile çıktılar arasındaki farkların

20
belirtilmesi ve bunların ayrı ayrı ölçülmesi de önemlidir. Çıktı ölçütleri kullanışlı ve ölçümün
tek yolu olabilir ancak iç denetçiler bunları gerçekleşen çıktılara kıyasla analiz etmelidir. Ek
olarak, performans esaslı sözleşmeler ve teşvikler, kurumun amaçlanan yönetişimi
gerçekleştirmesini sağlamak için gözden geçirilmelidir. Uygulama sonrası yapılan gözden
geçirmeler, nelerin çalıştığını nelerin çalışmadığını öğrenmek ve bunlara dair bilgi sahibi
olmak için faydalı araçlardır.

BT İşlemleri için Stratejik Ölçütler

BT işlevinin gündelik operasyonel yönlerinin verimliliğini ölçmek için mevcut ölçütler

olmalıdır. İçerden bir bakış açısıyla BT yönetimi; sistem çalışma zamanı /arıza zamanı, açık-
kapalı oranlı yardım masası etiketi, pik kullanım zamanı süreleri, kapasite ve kullanım gibi
daha teknik ölçütlere ihtiyaç duyar. Stratejik kurumsal amaçların başarısı üzerinde BT’nin
etkisinin daha kolay ölçümü için bu amaçları daha düşük operasyonel bileşen amaçlarına
bölmek ve SLA’lar ve operasyonel hizmet seviyesi anlaşmaları (OLA’lar) gibi çeşitli ölçütleri
kullanmak faydalı olabilir. Aşağıdaki tabloda kurum ile BT arasında yanlış uyumlaştırmayı
gösteren bazı göstergelere yer verilmiştir. Uygun performans göstergeleriyle birlikte BT’yi
içeren açık ve belirgin bir strateji etkili BT yönetişiminin temel unsurlarından biridir.

Stratejik ve Operasyonel Planlama Yanlış Uyumlaştırmanın Sonuçları (Riskler)

Kurumsal strateji BT’yi ele almaması.
BT yoluyla elde edilecek kurumsal gelişmeler
değerlendirilmemesi
Belirsiz kaynak stratejileri ve SLA’ların eksikliği
Yetki ya da sonuçlara ilişkin hesap verebilirlik
eksikliği
BT finansal yönetiminin etkin olmaması
Stratejik BT amaçlarına ulaşılamaması
Kurum içinde olası verimsizlikler
Kurumsal yükümlülükleri yerine getirememe.
Liderliğin hükümsüz olması ve olası fırsat kayıpları.
BT finansal kaynakların yanlış kullanımı

2.4 Hizmet Sunumu ve Hizmetlerin Ölçümü

BT maliyetlerin etkin ve verimli yönetimi, bir yandan bütçenin uygun kullanımını sağlarken
bir yandan da BT işlemlerinden değer elde etme olasılığını artırır. BT’ ye ilişkin finansal
ölçütler stratejik, operasyonel ve teknik seviyelerde önemli bir rol oynar. BT çıktıları, değer
katkısını göstermek ve kurumsal birimler düzeyinde BT hizmetlerinin maliyetini anlamak ve
yönetmek için ölçülmelidir. BT finansal ölçütlerinin stratejik ve performans yönetimi
ölçütleriyle birlikte, el ele çalıştığı da ayrıca not edilmelidir. Hizmet sunumu finansal

21
verilerden çok daha fazlasını içerir ancak BT yatırımlarında karlılığı sağlamak için finansal
verilere odaklanmak gerekir.

Finansal yönetimin önemli bir yönü, doğru bilgileri çıkarabilme ve bileşenleri doğru ve
düzgün bir biçimde ölçebilme kabiliyetidir. Finansal verilerin etkili bir şekilde analiz
edilebilmesi için detaylara ihtiyaç vardır. Aşağıdaki tabloda finansal yönetim perspektifinden
BT ile kurumun yanlış uyumlaştırıldığını gösteren bazı göstergelere yer verilmiştir.

Hizmet Sunumu ve Ölçümü Yanlış Uyumlaştırmanın Sonuçları (Riskler)

Maliyetlerin benzer kurumlara kıyasla daha yüksek
olması
Bilginin bileşenlerine inme kapasiteli düşük seviyeli
ölçütlerin olmaması
BT maliyetlerinin bilinmemesi ya da detaylı olmaması
BT inisiyatifleriyle elde edilen değerlerin takip
edilmemesi
Anlamlı ölçütlerin olmaması ya da çok fazla ölçüt
olması
Hesap verebilirliğin olmaması
BT üst yönetim ödünlerinin kurumsal çıktılarla
bağlantılı olmaması
Verimsiz noktaların, istisna değil norm haline gelmesi
Kurumsal misyonun gerçekleştirilememesi
BT yatırım getirilerinin izlenmemesi
Karar almaya ilişkin verilerin eksikliği
Doğru ve tam finansal veri eksikliği
Finansal ve yönetimsel amaçların
gerçekleştirilememesi
İnisiyatifler ya da çıktılar için hesap verebilirliğin
uygulanamaması
Kurumsal çıktılar ile stratejik amaçlar arasında yanlış
uyumlaştırma

BT’nin teknik/operasyonel ve finansal performans Amaçlar ile stratejik misyon arasında uyum eksikliği
ölçümünün yapılmaması

2.5 BT Kurum ve Risk Yönetimi

BT ortamının bilgi ve teknik bileşenleri teknoloji seçimi, edinimi ve uygulanması için

metodolojiler ve ilgili standartları içerecek şekilde çok iyi organize edilmelidir. Ancak BT
işlevinin ve bu işleve dayalı verilen çabaların nihai başarısı, stratejik plan ve usulüne uygun
tasarlanmış kurumsal yapılar esas alınarak kurul ve üst yönetim tarafından verilen yöne
bağlıdır.

Kurum İnşası

Kurumun teknik inşası, kurumun işletme modeli esas alınarak geliştirilmeli ve kurumun

22
stratejisiyle uyumlaştırılmalıdır. Daha homojen bir altyapı sunması ve tüm kurumdaki
süreçleri destekleyen daha az uygulama barındırması bakımından merkezi bir işletim modeli
daha yararlı olabilir. Bu ayrıca bilginin daha kolay paylaşımını sağlar ve standardizasyonunu
kolaylaştırır ve izleme ve karar verme amacıyla birimler arasında daha iyi ve daha eksiksiz
rapor alışverişi sağlar. Halihazırda değişiklik geçiren ya da büyümeye dair büyük hedeflere
sahip bir kurumun, değişikliğe ve büyümeye imkan verecek ve bunu destekleyecek uygun
teknik kurum inşasını geliştirebilmesi için BT ile güçlü etkileşime ihtiyacı vardır.

Kurum müşterilere tek tip hizmetler ve ürünler sunduğunda daha merkezi bir yönetim yapısı
ve işletme modeli beklenebilir. Bunun tam tersi bir durum varsa, kurumun BT yönetişiminin
etkinliğinden ödün vermeyen iyi nedenler de olabilir. Âdemi merkezi bir işletme modelinde
stratejik işletme birimlerinin (SBU) daha bağımsız ve özerk çalışmasına, kendi bütçelerinin
olmasına, farklı uygulamaları ve BT altyapılarını kullanmalarına izin verilir. Sonuç olarak
uygulamalar, BT altyapısı, süreçler ve prosedürler bakımından kurumun tümünde tek bir BT
standartlar kümesinin etkin ve verimli bir biçimde kullanılmasında başarılı olması mümkün
olmayabilir. Ölçeklenebilirlik daha az mümkündür fakat BT yatırım ROI’sinin kümeleşmesini
sağlayan âdemi merkezi yapının da geçerli nedenleri olabilir.

Bilgi Güvenliği Yönetimi

Uygun bilgi güvenliği yönetimi kurumsal işletme modeline bağlıdır. Merkezi bir komuta
yapısında bilgi güvenliği politikaları ve prosedürlerinin tüm kurum düzeyinde uygulanması
daha kolaydır, âdemi merkezi yapıda ise daha farklı yaklaşımların sergilenmesi gerekir.
İşletme modeli ne olursa olsun çeşitli BT ortamları ve bunların bileşenleri arasındaki teknik
farkların yanı sıra bilgi güvenliği risk iştahı ve risk tolerans seviyeleri de rol oynar.

23
BT yönetiminin uygun ve etkin bir bilgi güvenliği yönetim programı olması için öncelikle
yapısal olarak büyük riskler taşıyan alanların belirlenmesi ve kavranması gerekir. Risk
değerlendirme ve çeşitli risk yanıt yöntem ve teknikleriyle BT yönetimi bu riskleri yönetebilir
ve kabul edilebilir bir artık risk düzeyine indirebilir.

Uygun risk yönetimi olmadan BT yönetiminin, altyapı ve bilgi sistemleri de dâhil fakat
bunlarla sınırlı kalmamak üzere önemli BT varlıklarına karşı bilinmeyen risk noktalarıyla
karşılaşması çok büyük bir olasılıktır. Ayrıca BT yönetiminin risk değerlendirme sonucu elde
edilen bulgulara yanıt vermesi de hayati önem taşır. BT yönetimi bunu yapmazsa riskler
yeterince yönetilemez ve BT yönetişimi ve süreçlerinden çeşitli ödünler verilir.

Aşağıdaki tabloda BT yönetişiminin mevcut olmadığını ya da BT ile kurum arasında bilgi ve

teknoloji bileşenleri bakımından yanlış uyumlaştırmadan kaynaklanan sebeplerle etkin
çalışmadığını gösteren bazı bileşenler listelenmiştir. Fazla karmaşık BT altyapısı, nispeten
yüksek sayıda uygulamanın varlığı ve standartların eksikliği bu tür bir yanlış uyumlaştırmanın
işaretleridir.

BT Kurum ve Risk Yönetimi Yanlış Uyumlaştırmanın Sonuçları (Riskler)

BT altyapısı ve uygulamalarının çok karmaşık olması
olgun olmaması ya da teyit edilmemesi
Teknoloji seçimine dair bir standart olmaması
Kurumsal süreçlerin bütünleşik olmaması ya da
otomatikleştirilmemesi
Sistemlerin standart olmaması
Verilerin paylaşılmaması
Verilerin standart olmaması
Kurumsal bilginin kaybolma ihtimali
Yeni teknoloji kullanımında etkinlik ve verimlilik
eksikliği
Tasarımın verimsiz olma ihtimali ve uygulanabilir
kıyaslama seçeneklerinin eksikliği
Ana kontrollerin yanlış uyumlaştırılması
Verimsiz noktaların azalmaması
Çabaların gereksiz tekrarı
Verimliliğin ana BT süreçlerine dâhil edilememesi.

3. Kurum ile BT’nin Uyumlaştırılması – Ana Unsurlar

Bölüm 2, kurum ile BT’nin yeterince uyumlaştırılmamasından kaynaklanabilecek risklere dair

görüşler sunmaktadır. Bu bölümde kurum ile BT’nin nasıl uyumlaştırılması gerektiği
tartışılmaktadır.

İç Denetim ve BT Yönetişim Uyumlaştırmasının Optimizasyonu

Verimsiz bir BT yönetişim modelinden daha verimli ya da optimal bir modele geçiş süreci

24
sürekli ilerleme gerektiren alanlardan biridir ve hiçbir kurum için tam anlamıyla çözüm üreten
çözüm ya da bir model yoktur. Optimizasyon süreci, akşamdan sabaha bir anda gerçekleşen
bir süreç değildir. Kurul ile üst yönetimin şirket yönetişimi genel konsepti ile BT yönetişimi
arasındaki temel ilişkiyi anlamadığı durumlarda kurum ile BT arasında optimum düzeyde bir
uyumlaştırmayı başarmak zor olabilir. Kurul ve üst yönetimin kurum içindeki BT
kontrollerine ilişkin bazı temel yönleri anlaması da gerekir. BT kontrolleri yönetim ve
yönetişimi destekleyen kontrollerdir ve aynı zamanda uygulamalar, bilgi ve insanlar gibi BT
altyapısı unsurları için genel ve teknik kontroller sağlar.

Kurum ile BT arasında uyumlaştırma ve BT yönetişimini güçlendirme faaliyetleri için bir

kuruma yardımcı olmak isteyen bir iç denetçi işe Bölüm 1’de sunulan BT yönetişim
bileşenlerine kıyasla kurumun mevcut durumunu inceleyerek başlamalıdır.

Güçlü BT-kurum uyumlaştırması, üretkenliği artıran kritik bir yönetişim unsurudur ve etkili
BT yönetişimi için aşağıdaki genel unsurları içermesi gerekir:

 Etkili BT finansal yönetimi

 BT aracılığıyla gerçekleştirilebilecek ilerlemeler
 BT yatırımlarının karlılığı
 BT inisiyatifleri aracılığıyla elde edilen kurumsal değer
 Çıktılarla bağlantılı olarak üst yönetimin verdiği ödünler

Etkili BT yönetişimi, üst yönetim BT yatırım döngüsünde temel bir rol oynadığında ve alınan
sonuçlara karşı hesap verebilir nitelikte olduğunda gerçekleşir. Üst yönetim, hesap verebilirlik
ilkesini ilgili karar alma süreçlerinde, ölçütlerde etkin bir biçimde yer alarak ve bunları üstten
aşağıya ilgili paydaşlara uygulayarak uygular. Yapılan bir araştırma en başarılı karar alıcıların
bilginin bileşenlerine inme kapasitesiyle düşük seviyeli ölçütlerin olduğu beş ile yedi arasında
ölçüt içeren bir kümeye odaklandığını göstermektedir.

Bölüm 1’de yer alan şekil BT yönetişim çerçevesinin farklı seviyeleri için en yaygın rolleri,
çerçeveleri ve standartları göstermektedir. Bu GTAG rehberinde de gösterildiği gibi BT
yönetişimi daha çok yönetişim daha az teknoloji odaklıdır, Ancak kurum ile BT arasında
uyumlaştırmanın gerçekleşmesi ve BT’nin uygun yönetimi için BT ve BT’nin kurum
üzerindeki etkilerinin kurul ve üst yönetim tarafından anlaşılması gerekir.

Önceki bölümde bağlamı, amaçları ve BT yönetişimiyle bağlantılı kurumsal riskleri anlamak

için gerekli bazı kavramlar açıklanmıştır. Bu bölümde İDY, iç denetçiler ve bir kurum
25
içindeki iç kontrollerden sorumlu işlevler ve bir kurumda BT yönetişimiyle bağlantılı riskleri
azaltmak için olması gereken resmi ve gayri resmi mekanizmalar ana kontrol örnekleriyle
birlikte verilmiştir.

Yumuşak (Gayri resmi) kontroller genelde yeterlilik, değerler, açıklık, liderlik ve beklentiler
gibi soyut amaçları ele alır. Sert kontroller ya da diğer bir ifadeyle resmi kontroller politika ve
prosedürler, kurumsal yapılar, raporlama mekanizmaları ve kurulu iç gözden geçirme
süreçleri gibi bir kurum tarafından kullanılan belgelenmiş ya da somut kontrol amaçlarını ele
alır.

Yumuşak ve sert kontroller arasındaki farkları anlamak, iç denetçilerin BT yönetişiminin

karmaşık yapısını ele almak için gerekli olan çok boyutlu mekanizmalar kümesini fark
etmesine yardımcı olur. Etkin ve verimli bir biçimde yönetilmesi gereken en az üç farklı
yönetişim bileşeni vardır: insanlar, süreçler ve teknoloji. Bu bağlamda, bu üç bileşenin etkin
bir biçimde yönetilmesini sağlamak için uygun bir BT yönetişim çerçevesi yukarıdan aşağıya
hem sert hem de yumuşak kontrolleri içeren bir kümeden oluşmalıdır. Ek olarak, bir kurumun
teknoloji yönetim süreçlerine dair iç denetçilere bilgiler sağlayan her bir temel BT yönetişim
kontrolleri için spesifik etkinlik ve verimlilik testleri gereklidir.

Olgunluk Modeli

Etkinliği artırmak, daha iyi BT yönetişim seviyesine ulaşmak için belirlenmiş bir çerçeveyle
bağlantılı olarak İDY, amaçları karşılaştırmak ve BT yönetişim ortamının mevcut yapısına
dair kurul ve üst yönetime bildirmek yapmak için bir olgunluk modeli kullanabilir.7

Bir kurumun BT yönetişim olgunluk seviyesine ilişkin bir değerlendirme yapılıp

belgelendirildikten sonra üst yönetim kuruldan aldığı destek ve yönlendirmelerle kurumun BT
yönetişim seviyesini iyileştirecek uygulamaları, politikaları ve prosedürleri değiştirmeye ya
da uygulamaya başlayabilir.

BT yönetişiminin karmaşık yapısından dolayı İDY ve iç denetim ekibi, karar alıcılar için
öncelik sırası önemli olmayabilecek alanlarda kurula ve üst yönetime değer katabilecek,
onlara görüş verebilecek konumdadırlar. İDY kurumun mevcut kurul ve üst yönetim
araçlarının bazılarının BT yönetişimi bağlamında nasıl geliştirilebileceği konusunda gözden
geçirmeler sunabilir. Daha önce de belirtildiği gibi BT yönetişimi iyi ve etkin uygulamalar ve
bilenen çerçeveler esas alınarak icra edilmelidir. Bu BT yönetişim uygulamalarının
7
COBIT 4.1, 2011 kullanan COBIT Süreç Değerlendirme Modeli (PAM), ISACA

26
kullanımı, kurumun stratejik amaçlarına ulaşmasına yardımcı olacak kontrolleri içermelidir.
Aşağıdaki bölümde bu kontrollerin bazılarına ilişkin bazı ilave noktalar üzerinde durulmuştur.
Tablo 1: BT Yönetişimi Kontrol Noktalarında sunulan BT Yönetişim kontrol noktası
çerçevesinin anlaşılması ve kullanılması özellikle önemlidir.

Bu çerçeve, bir BT yönetişim yapısında stratejik ve taktiksel düzeyde mevcut rolleri ve

ilişkileri anlamak ve bildirmek için bir yöntem olarak kullanılabilir.

3.1 BT Yönetişim Kontrolleri

Etkili ve verimli bir BT yönetişim süreci, kurumsal strateji ve amaçların karşılanmasını

sağlayan kontrolleri içerir. BT’yi düzgün yönetmek ve bir ölçüde bilgi sermayesi için BT
yönetişim süreci insanları, süreçleri ve teknolojiyi birlikte yöneten sert ve yumuşak kontroller
kümesini içermelidir.

Yönetişim, alternatiflerin değerlendirilmesi, yönlendirme ve izleme yapılması ve icra edilen

sürecin takip edilmesidir.

Kontroller kümesi, aşağıdaki Tablo -1’de gösterilen çok boyutlu bütünleşik bir şekil olarak
kavramlaştırılabilir.

27
 Tablo 1: BT Yönetişim Kontrol Noktaları
İNSANLAR SÜREÇLER TEKNOLOJİ
İnsan Kaynağı Kurumsal Kurumsal Roller Kurumsal Teknolojiler ve Araçlar
Organlar Araçlar
BT  Şirket  Kurul  Üst  BT Stratejisi  Kurumsal Planlar
Yönetişimi Stratejik Kültürü Yöneticiler  BT  Kurumsal BT
Düzey  Değerler  CEO, Finans Politikaları dengeli sonuç kartı
 İnanışlar Yöneticisi,  Bilgi İnşası  Hizmet Seviyesi
 Davranışlar Başkan  Bilgi Gözetimi
Yardımcıları, Güvenliği
İşletme İnşası
Yöneticileri,
Bilgi
Yöneticisi
 Beceri  BT tarama  Bilgi  BT Standart  Çoklu Birimsel BT
Kümesi komitesi Yöneticisi ve Dengeli Sonuç Kartı
Taktiksel  Kaynak  Diğer  Uygulamalar Politikaları  Proje Ölçütleri
Düzey Stratejileri kolektif BT Yöneticisi  Güvenlik  Uygulama Sistemleri
taktiksel  Program/Proj Taban Ölçütleri
organlar e Yürütme Çizgileri  Hizmet Seviyesi
BT Yöneticisi  Proje Anlaşmaları
Yönetimi  Müdürler Yönetim
Yöntemleri
 Hizmetler
Seviyesi
Yönetimi

 Eğitim  Diğer  BT Projeleri  İşlem Gösterge

Günlük  Farkındalık kolektif ve Tablosu
İşlemler  Uygunluk yönetim İnisiyatifleri  Ağ ve Altyapı
 Sürekli organları  BT İzleme Araçları
gelişme Prosedürleri  Proje İzleme
ve  Uygulama
Kılavuzları Sistemlerinin
 Görevler ve İzlenmesi
İnisiyatifler
 Hizmetler
Seviyesinin
İzlenmesi

Üst Yönetimin Üslubuyla Elde Edilen Etik ve Değerler

BT yönetişimi, kurumun genel kontrol ortamı içinde mevcut olan bir süreçtir. Kurumsal
Yönetişim King III Raporu (2009) özellikle BT yönetişimin etik yönlerine vurgu yaparak BT
kullanımına dair sorumlulukları daha iyi anlamak ve farkında olmayı sağlar.

“5.1.3. Kurul, etik bir BT yönetişim kültürünü ve ortak bir BT dili farkındalığını teşvik
etmelidir.”

Ayrıca King III Raporunun giriş bölümü şöyle der:

“ görevlerini yerine getirirken (kurul) yöneticiler, BT yönetişimi bakımından mantıklı ve

ölçülü adımlar atmalıdır.”

28
BT Standartları, Politikalar ve Prosedürler

Taktiksel bir bakış açısıyla iç denetçi BT standartları ve politikaları ve güvenlik taban

çizgileri gibi genelde BT sorumlusu olmayan müdürler ve CIO ya da bunların
uygulanmasından sorumlu eş değer yetkililer tarafından onaylanan ve idare edilen araçların
nasıl kullanılacağını düşünmelidir. Bu arada kurumsal BT planları, BT stratejileri, BT
politikaları ve inşa yapıları, bu kurumsal araçlardan nihai sorumlu CIO ya da eşdeğer
pozisyonda bir yetkili tarafından ele alınmalı ve onaylanmalıdır.

Performans Yönetimi ve Raporlama

BT yönetişim paydaşları, beklenen çıktıları gözden geçirmek, bunları izlemek, idare etmek ve
bunlara ulaşılmasını sağlamak için kurumsal BT amaçlarını ve inisiyatiflerine ilişkin tutarlı ve
anlamlı bir kavrayış sahibi olmalıdır. Dengeli puan kartı gibi teknikler ve araçlar bu ihtiyacı
karşılayabilir.

İç Denetçi, kurul ve üst yönetime yönetişim yapıları ve süreçlerine dair güvence ve tavsiye
sunabilecek bir pozisyonda olmalıdır. İDY, BT yönetişim ortamındaki ilişkileri anlayabilecek
benzersiz bir pozisyona sahip olduğu için BT yönetişim sürecinden sorumlu kişilere
bildirilmesi gereken yeni ortaya çıkan durumların farkında olmalıdır. Uygun danışmanlık
hizmetlerini sunmak için İDY, kurumun büyük resme odaklanmasına yardımcı olacak
stratejik geliştirme tekniklerini kullanmalıdır. Ayrıca kurumun üst yönetişim komitesi ya da
buna benzer bir grup şunları sağlamalıdır:

 Mevcut ve olası BT yönetişim komite üyeleri, uygun BT bilgisi ve BT geçmişine

sahip olmalıdır.
 Komitenin BT gözden geçirme performansı izlenmelidir.
 Komite, kurum üzerinde etkisi olabilecek dış düzenleyici yönetişim konuları hakkında
bilgi sahibi olmalıdır.
 BT yönetişim komiteleri, periyodik olarak BT politikalarını gözden geçirmelidir.
 BT yönetişim komitesi toplantıları düzenli yapılmalıdır.

29
4. BT Yönetişiminde İç Denetimin Rolü

BT Yönetişiminde temel sorumluluk kurul ve üst yönetime aittir. İç denetim faaliyetinin

sorumluluğu, kurumun BT yönetişim düzeyinin Standart 2010’da özetlenen kurumsal
stratejiler ve amaçları destekleyip desteklemediğini değerlendirmektir.

Uygunluğa kıyasla Performans

İç denetçiler hem performans denetimleri hem de uygunluk denetimleri yaparlar. Uygunluk

denetiminde denetçiler dış düzenleyici yükümlülükler ile ilgili iç politikalar ve prosedürlere
bağlılığa odaklanırlarken, performans denetiminde etkili bir denetim programı geliştirmek
için kurumda gösterilen performansın altında yatan unsurlara ilişkin analiz ve
değerlendirmelere daha fazla odaklanılır.

Kurumun etkinlik ve verimliliğini değerlendirmek daha talep edilen bir durumdur ancak
kurumun yönetişim düzeyinin istikrarlı olup olmadığı ve kurumsal stratejiler ve amaçları
destekleyip desteklemediğini belirlemek de gereklidir.

Bir BT denetim faaliyeti icra edilirken iç denetim faaliyetinin bağımsızlığı sağlanmalı ve BT

yönetişim seviyesinin verimliliği bakımından kurula objektif bir güvence verilmelidir.
Denetim başlamadan önce bile iç denetçiler denetim faaliyetini icra etmek için gerekli bilgi,
beceri ve diğer yeterliliklere sahip olduklarını göstermelidirler.

Bir BT yönetişim faaliyetinin kapsamı belirlenirken ve faaliyet icra edilirken iç denetimden

görevli ekip şunları yapmalıdır:

• BT işlevinin kurumsal amaçlar ve stratejilerle uyum gösterip göstermediği ve bunları

içselleştirip içselleştirmediği belirlenmelidir.

• BT kaynakları ve performans yönetiminin etkinliğini belirlemek.

• BT ortamını olumsuz etkileyebilecek riskleri değerlendirmek.

BT Yönetişim Denetim Planının Geliştirilmesi

İç denetim, görev planlamasını kapsayan 2200 standart serilerinde özetlenen yerleşik

performans standartlarını takip etmelidir. Standart 2200: Görev Planlaması şöyle der: İç
denetçiler, görevin amaçları, kapsamı, süresi ve kaynak tahsisleri de dâhil her bir görev için
bir plan geliştirmeli ve bunu belgelendirmelidir.” Ek olarak, BT yönetişim görev planı icrası
kapsamında 2200 serisi Uygulama Tavsiyeleri de dikkate alınmalıdır çünkü bunlar konuya
30
ilişkin ilave detaylı tavsiyeler vermektedir. Bu araçlar, katılımcıya BT yönetişim denetim
planının anlaşılması ve icrası için kavramsal bir çerçeve sunmaktadır. İDY’ler kendi BT
yönetişim denetim görev planlarını geliştirirken profesyonel değerlendirmeleri kullanmalı ve
kurumun kontrol ortamının, stratejilerinin ve amaçlarının benzersiz yapısını algılamalıdırlar.

Takip eden bölümde verilen bilgiler, ilk olarak Giriş bölümünde sunulan beş BT yönetişim
bileşeninin her biri için iç denetçinin odaklanılması gereken alanlara ilişkin tavsiyeler içerir.

Kurum ve Yönetişim Yapıları

İç denetim faaliyeti, kurumsal yapılar kuramaz, metodolojileri onaylamaz ya da politikalar

yazamaz ancak bunları doğruluk, tamlık ve alaka bakımından gözden geçirebilir ve iç denetim
şartı ve IPPF tarafından imkân verilen ölçüde BT yönetişim faaliyetini destekler. Bu gözden
geçirmenin aşağıda sayılan şu durumları kapsaması olasıdır:

 Mevcut bir CIO olup olmadığını ve bunun üst yönetim ekibinin bir üyesi olup
olmadığını saptamak için kurumsal yapının gözden geçirilmesi
 Yönetişim faaliyetlerinin ve standartların iç denetim faaliyetinin kurumun risk iştahını
anlama düzeyiyle ne ölçüde tutarlı olduğunu denetlemek
 İç denetim şartıyla imkan verilen ve kurul tarafından onaylanan danışmanlık görevleri
 Anlamlı kurumsal ve risk değişikliklerinin zamanında ele alınmasını sağlamak için BT
yönetişim faaliyetiyle hâlihazırda kurulan diyaloglar
 BT yönetişim faaliyetinin IIA Standart 2110 ile tutarlı resmi denetimleri

Yönetici Liderlik ve Destek

Bu GTAG rehberinde daha öncede belirtildiği gibi etkili bir yönetişim programının ön şartı
üst yönetim kültüründe ve düşünce yapısında doğru üslubun yaratılması ve aktarılmasında
yönetici liderliğin etkinliğidir. Ayrıca BT işlevinin kurumun stratejik planıyla
uyumlaştırılması ve onun bir parçası olmasını sağlamada da kurul ve üst yönetim çok önemli
bir role sahiptir. Denetim perspektifinden bakıldığında Standart 2130.A1 şöyle der:

“İç denetim faaliyeti kurumun yönetişim, işlemler ve bilgi sistemlerine ilişkin riskleri ele alan
kontrollerin etkinliği ve tamlığını aşağıda sayılan noktalar bakımından değerlendirmelidir:

 Finansal ve operasyonel bilgilerin güvenirliği ve bütünlüğü

 İşlemlerin etkinlik ve verimliliği

31
  Varlıkların korunması
 Kanun, yönetmelik ve sözleşmelere uygunluk”

Güvenirlik, bütünlük, etkinlik, verimlilik, koruma ve uygunluk genelde kurum içinde BT

yönetimi ve ilgili kontroller ve ön koşul denetim becerileriyle bağlantılı unsurlardır. Ancak
yönetişimle bağlantılı faaliyetlerin etkin denetimi için iç denetçinin çok deneyimli olması ve
kontrol ve yönetişime ilişkin kavramları derinlemesine bilmesi gerekir. BT yönetişiminin
denetimi söz konusu olduğunda iç denetçinin kurumun BT yönetişim faaliyetlerini
yorumlaması ve anlaması gerekir. Standart 2130 uyarınca İDY, iç ve dış risk maruziyetleri ve
kurumun dış kuruluşlarla olan bağlantılarından kaynaklanan risklerde dâhil olmak üzere BT
yönetişim programı ve bağlantılı riskleri değerlendirmek için gerekli beceri ve kaynaklara iç
denetim faaliyetinin sahip olmasını sağlamalıdır. Bunu yaparken İDY, BT yönetişim
kavramlarına ilişkin bilgisi ve deneyimi olmayan fakat BT güvenlik birimi ve üst yönetimle
çalışma deneyimi olan personelden faydalanabilir. Ek olarak, iç denetim personeli mevcut
yönetişim yapılarını bilmeli ve güvenlik yönetim liderliği ve yönetişim yapılarıyla etkili bir
çalışma ilişkisi geliştirebilmek için yeterli ilişki yönetim becerilerine sahip olmalıdır. Küçük
denetim işlevlerinde İDY, BT yönetişim denetiminin gerçekleştirilmesinde etkin olarak yer
alabilir ya da BT yönetişim denetim faaliyeti üçüncü bir hizmet sağlayıcıyla birlikte ya da ona
dışarıdan yaptırılabilir.

Stratejik ve Operasyonel Planlama

Stratejik ve performans (taktiksel) BT yönetimi ve bunlara ilişkin ölçümler etkili bir BT

yönetişim programının temel bileşenleridir. Standart 2110.A2 şöyle der:

“İç denetim faaliyeti, kurumun [BT] yönetişiminin kurumsal stratejiler ve amaçları

destekleyip desteklemediğini değerlendirmelidir.”

İç denetim faaliyeti, Standart 2110 ile uyumlu bir şekilde BT yönetişiminin kurumsal strateji
ve amaçları destekleyip desteklemediğini ve sürdürebilirliğini değerlendirmek de dahil
yönetişimle bağlantılı denetimler gerçekleştirmelidir. İç denetçi, BT yönetişim programının
mevcut olmadığı, yeterli düzeyde tasarlanıp kontrol edildiği ya da olması gerekenden daha az
ya da daha fazla kontrol edildiği durumlarla da karşılaşabilir. Her bir kurumun BT yönetişim
programı farklıdır ancak her bir program stratejik amaçların başarılması gibi BT’nin yeterince
yönetilip yönetilmediğini yönetime söylemeye yarayacak yeterli performans bileşenlerine
sahip olmalıdır.

32
Hizmet Sunumu ve Hizmetlerin Ölçümü

BT yönetişim programının finansal yönetişim bileşenlerinin denetimi, kurulun ve üst

yönetimin yönlendirmesi, sektörel koşullar ve baskılar ve rekabete bağlı olarak kurumdan
kuruma farklı olabilir. Yine de her durumda finansal yönetim, BT bağlamında maliyet ve
yararların kontrol edilmesi ve izlenmesi için önemli bir unsurdur.

İç denetim, BT finansal yönetiminin üst yönetim tarafından ne kadar iyi tasarlandığı ve

çalıştırıldığı konusunda asgari bir anlayış düzeyine sahip olmalıdır. İç denetim, aşağıdaki
soruları sorarak BT finansal yönetim politikalarına ilişkin bir kavrayış kazanarak işe
başlamalıdır:

 Kurul ve üst yönetim, BT maliyetlerine dair ve bunların stratejik amaç ve hedefleri ve

çıktıları gerçekleştirmeye hem alt seviyede hem de tepede nasıl katkı sunduklarına dair
gerçek bir kavrayışa sahip mi?
 Kurumsal birim liderleri BT çıktılarını ve elde edilen değerleri ölçüyor mu? Nasıl?
 BT maliyetleri aynı sektörde faaliyet gösteren benzer büyüklükteki kurumlara kıyasla
nasıl?
 Daha büyük yatırımlar için yapılan maliyet yarar araştırmalarının bir parçası olarak
finansal analizler yapılıyor mu?
 Kurumsal birim liderleri ve CIO, finansal performans ve finansal olmayan performans
verileri esasında ölçülüyor mu?

Yanlış uyumlaştırmanın risklerine dair bilgilerin verildiği bölümde de belirtildiği gibi finansal
yönetimin doğru bilgileri çıkarma ve ölçme kabiliyetine sahip olması onun önemli bir
özelliğidir.

Finansal verilerin etkin bir şekilde analizi için detayların olması gerekir. Hem finansal hem de
finansal olmayan ölçümler için bir performans çerçevesi inşa etmek etkin bir BT yönetişimi
için gerekli unsurlardan biridir.

BT Kurum ve Risk Yönetimi

BT yönetişiminin bilgi ve teknoloji bileşenlerine odaklanıldığında, gerçekleştirilen denetim

faaliyetlerinin öncelikle BT yönetişim yapılarının ve süreçlerinin gözden geçirilmesine
odaklanması olasıdır. Bu güvence görevi, iç denetim faaliyetinin BT yönetişim programına,
bağlantılı politikalara ve prosedürlere ilişkin bir anlayış sağlar. Ek olarak, görev programın

33
bağımsız standartlara kıyasla karşılaştırmasını da yapmalıdır. İç denetçi, yönetimin kendi
kıyaslama ölçütünü kullanıp kullanmadığını da teyit edebilir ve böyle bir durum varsa, bu
kıyaslama faaliyetlerini gözden geçirir. Bu düzeyde yapılan bir gözden geçirme BT yönetişim
programının yapısına ilişkin bazı güvenceler sağlar ancak BT yönetişim çerçevelerine uygun
olmayabilir. Kıyaslama görevi, çok yıllı bir denetim planı için iyi bir başlangıç noktası olabilir
çünkü ilave gözden geçirmeler yapılmadan önce yönetişim yapısındaki tasarım boşluklarını
ele almak için yönetime zaman tanır. Bu yaklaşım, İDY’nin iç denetim kaynaklarını etkin
yönetmesini sağlar çünkü denetim faaliyetinin programın temel beklentileri karşıladığına dair
makul güvenceler verdiği noktaya kadar uygunluk testleri gerçekleştirilmeyebilir.

İç denetim faaliyeti, BT yönetişim tasarımından yeterince tatmin olduğunda denetim testleri,

programın Standart 2110 ile ne derece uyumlu çalıştığına odaklanmaya başlar. Bu türde bir
denetim aşağıdaki gözden geçirmeleri içermelidir:

 Yönetimsel raporlama
 Onay ve belgelendirmeye ilişkin istisnalar
 Risk değerlendirmelerinin tutarlılığı
 Ölçütlerin etkin kullanımı
 Yeni ortaya çıkan kurumsal ihtiyaçlar ve dış değişikliklere ilişkin zamanında yapılan
güncellemeler
 Kurul ve komite toplantı tutanakları
 Stratejiler ve planlar
 Kurumsal değişiklikler ve yönetim üyeleriyle yapılan mülakatlar

Son olarak iç denetim faaliyeti, diğer denetlenebilir kuruluşların BT yönetişim programına

mevcut desteğinin ne derece olduğunu incelemelidir. Olası güvenlik olaylarının
belgelendirilip belgelendirilmediğini, bunlarda artış olup olmadığını, bunlara cevap verilip
verilmediğini ve bunların destek ekipleri tarafından yönetilip yönetilmediğini değerlendiren
denetim işlemlerinde ve her bir stratejik sürece ilişkin BT riskinin gözden geçirilmesi gibi
diğer denetim işlemlerinde kullanılan spesifik test aşamalarını içermesi olasıdır. Bu denetim,
yönetişim yerine BT faaliyetlerinin denetimi şeklinde inşa edilebilir. Ancak yönetişim
programı tarafından kurulan istisnalara kurumların, onlara ait birimlerin ya da işlevlerin ne
ölçüde uyduğunu gözlemlemek BT yönetişiminin etkinliğini gerçek anlamda anlamak için
gereklidir. Örneğin yardım masası usulüne uygun olmayan kullanımları % 50’nin altında bir
seviyede rapor ediyorsa kurumun tümü gerçek risk profilini önemli ölçüde gerçek değerin

34
altında hesaplayacak ve bunun sonucunda da kurum temel kurumsal amaçlara ulaşmayı
başaramayacaktır.

BT yönetişim denetiminin tamamlanmasının ardından İDY sonuçları kurul ve üst yönetime

bildirmeli ve Standart 2400: Sonuçların Bildiriminde özetlenen mevcut performans
standartlarını takip etmelidir.

“Bildirimler cari sonuçlar, tavsiyeler ve eylem planlarının yanı sıra görevsel amaçları ve
bunların kapsamını içermelidir.”

BT yönetişiminin denetimini esnasında iç denetim faaliyeti kurum içindeki risklerin düzeyine

ilişkin farklı bildirimlerin yapılması gereken BT yönetişim konularıyla karşılaşabilir. Faaliyet
gösterdikleri farklı kurumların, sektörlerin ve ülkelerin benzersiz yapıları dikkate alındığında
iç denetim faaliyeti, kullanılacak bildirim yönteminin belirlenmesinde Standart 2400’ü
referans bir çerçeve olarak takip etmelidir.

Kurula/Yönetime yapılacak bildirime ilişkin daha detaylı tartışmalar ve muğlak kalan

konuların açıklığa kavuşturulması için iç denetim faaliyetinin aşağıda verilen standartlardaki
tavsiyeleri gözden geçirmesi önerilir:

 Standart 2410 : Bildirim Kriterleri

 Standart 2420 : Bildirimlerin Kalitesi

35
Sonuç

Bu GTAG rehberinin bir BT yönetişim denetimi icra edilirken iç denetçiler tarafından bir araç
olarak kullanılması ve onlara kullanabilecekleri yüksek seviyeli bir yöntem sağlaması
amaçlanmaktadır.

Bu rehber, BT yatırımlarında optimum getiri için gerekli özellikler ve mekanizmalara ilişkin

araştırmalar ve global uygulamalar esas alınarak hazırlanmıştır ve kurumsal strateji ve
amaçları destekler. Her kurum farklı yapı ve uygulamalara sahip olduğu için iç denetçiler
denetim programlarını bu GTAG rehberi uyarınca her bir denetim müşterisi için uygun hale
getirmelidir.

Etkin BT yönetişiminin beş bileşeni küresel uygulamalar ve araştırmalar neticesinde

belirlenmiştir. Bu bileşenler, kurumsal ihtiyaçlar ile BT kuruluş yapısının bu ihtiyaçları
destekleyecek ve karşılayacak şekilde uyumlaştırılmasına ek olarak yönetişim yapılarını,
roller ve sorumlulukları, stratejik ve operasyonel planlama ve uygulamaya ilişkin faaliyetleri
ve planların gerçekleştirilmesinin takibini kapsar.

Hem performans hem de risk yönetimi bu faaliyetlerin bütünleşik bir parçasıdır ve kurul ve
üst yönetim bu faaliyetler aracılığıyla alternatifleri değerlendirir, yönlendirmeler yapar ve
verilen yönlendirmeleri izler ve takip eder.

Yazarlar ve Gözden Geçirenler

Yazarlar:

Stig J. Sunde, CIA, CISA, CGAP, CRISC Cesar L. Martinez, CIA,

CGAP

Fernando Nikitin, CIA, CCSA, CRMA, CISA, CGEIT, CISM, CRISC, CISSP

Steve Hunt, CIA, CRMA, CISA, CGEIT, CRISC, CBM

Gözden Geçirenler:

Steven E. Jameson, CIA, CCSA, CFSA, CRMA, CPA, CFE, CBA, CGMA

36
EK – BT Yönetişim Risk Değerlendirmesi / Görev Planlamaya İlişkin
Değerlendirmeler

Risk değerlendirme perspektifinden bakıldığında, aşağıdaki sorular BT yönetişim denetiminin

denetim planı içine inşa edilip edilmediğini belirlemek için kullanılabilir. Görev planlama
perspektifinden bakıldığında da bu sorular BT yönetişim denetiminin kapsamını belirlemek
için bir rehber olarak kullanılabilir.

KURUM & YÖNETİŞİM YAPILARI DEĞERLENDİRME

EVET/HAYIR-YORUMLAR
Kurumsal sonuçlara ilişkin bir yetki ya da hesap verebilirlik eksikliği var
mı?
BT ve operasyonel kurumsal yapılar açık ve belirgin bir şekilde
tanımlanmış mı?
BT liderleri ile kurumsal liderler arasında iletişim kanalları açık ve belirgin
bir şekilde tanımlanmış mı?
YÖNETİCİ LİDERLİK & DESTEK
Yöneticiler BT ile bağlantılı karar alma süreçlerinde etkin yer alıyor mu?
Kurumun çekirdek yapısı açık ve belirgin bir odak noktasına (bildirilmiş
açık ve belirgin bir strateji) sahip mi?
CEO’nun (ve Stratejik Ticari Birim Başkanlarının) BT’yi kavrayış düzeyi
açık ve belirgin mi?
STRATEJİK & OPERASYONEL PLANLAMA
Kurumsal strateji BT’yi ele alıyor mu? BT stratejisi var mı?
BT kaynakları aracılığıyla elde edilen kurumsal gelişmeler değerlendiriliyor
mu?
Kaynak stratejileri açık ve belirgin mi? Bunlar SLA’lar ile destekleniyor
mu?
Kurumsal sonuçlara ilişkin yetki ve hesap verebilirlik düzeyleri açık ve
belirgin mi?
BT finansal yönetimi etkin mi? Karar alıcıları destekliyor mu?
HİZMET SUNUMU & ÖLÇÜMÜ
Maliyetler benzer kurumlara kıyasla daha yüksek mi?
Bilginin bileşenlerine inme kapasiteli düşük seviyeli ölçütler var mı?
BT maliyetleri biliniyor mu? Bunlar yeterince detaylı mı?
BT inisiyatifleriyle elde edilen değerler takip ediliyor mu?
Anlamlı ölçütler var mı? Varsa bunlar çok fazla mı?
Hesap verebilirlik açık ve belirgin tanımlanmış mı?
BT üst yönetim ödünleri kurumsal çıktılarla bağlantılı mı?
BT’nin teknik/operasyonel ve finansal performans ölçümü yapılıyor mu?

37
BT KURUM &RİSK YÖNETİMİ
BT altyapısı ve uygulamalarının çok karmaşık mı?

Teknoloji seçimine dair bir standart var mı?

Kurumsal süreçlerin bütünleşik mi ya da otomatikleştirilmiş mi?
Sistemler standart mı?
Veriler paylaşılmış mı?
Veriler standart mı?

GTAG®

38
Enstitü Hakkında

1941 yılında kurulan Uluslararası İç Denetçiler Enstitüsü (IIA) uluslararası düzeyde faaliyet
gösteren bir kuruluştur ve genel merkezi Altamonte Springs, Fla., ABD adresinde bulunur.
IIA, iç denetimin dünyadaki sesi, bilinen otoritesi, saygın lideri, esas savunucusu ve temel
eğitmenidir.

Mesleki Uygulama Rehberleri Hakkında

Mesleki Uygulama Rehberleri, iç denetim faaliyetlerinin icra edilmesi için detaylı bilgiler
sunarlar. Araçlar ve teknikler, programlar, aşama aşama izlenmesi gereken yaklaşımlar gibi
süreç ve prosedürlere ilişkin detaylı bilgilere ek olarak örneklere de bu rehberlerde yer verilir.
Mesleki Uygulama Rehberleri IIA’in yayımladığı UMUÇ'un bir parçası değildir. Israrla
tavsiye edilen rehberler kısmında yer aldığı için bu rehbere uyulması zorunlu değildir ancak
uyulması önemle tavsiye edilir. Bu rehber, resmi bir gözden geçirme ve onay sürecinin
ardından IIA tarafından tasdik edilmiştir.

Global Teknolojiler Denetim Rehberi (GTAG); bilgi teknolojisi yönetimi, kontrolü ve

güvenliğine ilişkin güncel konuları ele almak için sade bir ticari dille yazılmış bir tür Mesleki
Uygulama Rehberidir. IIA tarafından yayımlanan diğer kabul görmüş rehberlere ulaşmak için
lütfen internet sayfamızın www.globaliia.org/standards-guidance bölümünü ziyaret ediniz.

Sorumluluk Reddi

Bu belge, IIA tarafından bilgi ve eğitim amaçlı yayımlanmıştır. Bu rehber, belirli münferit
koşullara kesin cevaplar vermez ve yalnızca rehber olarak kullanır. IIA, doğrudan doğruya
belirli koşullar için bağımsız bir uzmana başvurmanızı daima tavsiye eder. IIA yalnızca bu
rehbere güvenme durumlarından doğabilecek zararlar için sorumluluk kabul etmez.

Telif Hakkı

Copyright ® 2013 The Institute of Internal Auditors.

Çoğaltmak için lütfen IIA’in guidance[at]theiia.org e-posta adresine başvurunuz.

Uluslararası İç Denetçiler Enstitüsü

www.globaliia.org

39