BDDK TEBLİĞİ ÇERÇEVESİNDE “BİLGİ SİSTEMLERİ DENETİMİ” KAVRAMININ İRDELENMESİ VE GÜNCEL GELİŞMELER

Öz

Bankacılık Düzenleme ve Denetleme Kurumu tarafından, 14.10.2007 tarihli ve 26643 sayılı Resmi Gazete’de“Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” yayınlanmıştır. Yayınlanan tebliğ ile 5411 sayılı Bankacılık Kanunu’nun 93 üncü maddesi ve Bankaların İç Sistemleri Hakkındaki Yönetmeliğin 11 inci maddesinin beşinci fıkrası ile 16 ncı maddesinin üçüncü fıkrasınca tanımlanan yükümlülük yerine getirilmiştir. Tebliğ, bankacılık ve finans sektörüne özel olarak düzenlenmiş olmakla birlikte diğer sektörlerde deuygulanabilir bir nitelik taşımaktadır. Söz konusu Tebliğ’e bağlı olarak yayınlanan “Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik” ile birlikte ülkemizde“Bilgi Sistemleri Denetimi” kavramı sağlam bir temele yerleştirilmiştir. Bu çalışmada öncelikle bu tebliğ ve yönetmeliğin denetime esas olan ilkeleri ele alınmıştır. Tebliğ’in bilimsel altyapısını oluşturulan, Bilgi SistemleriDenetim ve Kontrol Birliği ISACA ve Bilgi Teknolojileri Yönetişim Enstitüsü ITGI tarafından geliştirilmiş“Bilgi Teknolojilerine İlişkin Kontrol Hedefleri CobIT ” dokümanının 2007 tarihli son 4.1 sürümü ile Uluslararası Standartlar Örgütü ISO tarafından 2008 yılı içinde yayınlanan ISO/IEC 38500 “Bilgi TeknolojilerininKurumsal Yönetimi” standardıyla gündeme gelen güncel gelişmeler ele alınmıştır

Anahtar Kelimeler

• Bilgi Sistemleri Denetimi, Kurumsal Yönetim, CobIT, Kontrol Hedefleri

SURVEY OF “IT SYSTEMS AUDIT” CONCEPT FROM BRSA REGULATION PERSPECTIVE AND RECENT DEVELOPMENTS

Öz

“Regulation on Principles of Information Systems Management to be made in Banks” was published in the Official Gazette dated 14/10/2007 Nr. 26643 by Banking Regulation and Supervision Agency BDDK . By release of the Regulation, BDDK fulfilled the legal provisions defined at Article 93 of Banking Law dated October19, 2005 Nr. 5411 together with Article 11 5 and Article 16 3 of “Regulation on Banks’ Internal Control andRisk Management Systems”. Although particularly targeted for banking and finance sectors, Regulation’s content and approach with its cognizant character towards globally accepted and widely practiced methodologiesand management frameworks, exhibits a proficient baseline which could be also conveinent to others. Besidesthis Regulation, and after the release of “Regulation on Information Systems Audit to be made in Banks by Independent Audit Institutions”, it is regarded that Information Systems Audit concepts were placed on firm foundations. In this study, initially the approach of Regulation on basis of audit principles were detailly commented.Afterwards, the recent advancements at IT systems audit area was reviewed based on the publications of International Standards Organization ISO/IEC 38500 “Corporate Governance of Infromation Systems” dated June,2008 and version 4.1 of CobIT “Control Objectives for Information and related Technology” guideline dated2007 which also accepted as the scientific backbone of the Regulation. Resultingly, new dimensions added tocorporate governance concept which unseperably dependent on reliable information technologies and also remarks on probable difficulties that may be confronted at the practice were discussed

Anahtar Kelimeler

• Information Technology Audit, Corporate Governance, CobIT, Control Objectives

Kaynakça

1. Ahmet Türkay Varlı, Bankacılıkta Bilgi Sistemleri Yönetimi ve Denetimi/ Mevzuat Çerçevesinde BDDK Perspek- tifi http://www.bddk.org.tr/turkce/Raporlar/Sunumlar/4020TIDE_Sunum.pdf Türkiye İç Denetim Enstitüsü, XI.
2. Türkiye İç Denetim Kongresinde yapılan sunum, İstanbul 2007
3. Ahmet Türkay Varlı, Basel II ve Teknoloji sunumu, http://www.bddk.org.tr/turkce/Raporlar/Sunum- lar/1989bddk_basel2_teknoloji%20%5BRead-Only%5D.pdf , www.bddk.org.tr içinden 27 Temmuz 2008 tari- hinde ziyaret edildi
4. Alan Cadler, IT Governance Today: A Practionner’s Handbook, London, 2006
5. BDDK, Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik, 16 Mayıs 2006 tarih ve 26170 sayılı Resmi Gazete, Ankara www.bddk.org.tr
6. BDDK, Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimine İlişkin Ra- por Formatı Hakkında Tebliğde Değişiklik Yapılmasına Dair Tebliğ, 05 Kasım 2007 tarih ve 26691sayılı Resmi
7. Gazete, Ankara www.bddk.org.tr BDDK, Bankaların Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ, 14 Eylül 2007 tarih ve sayılı Resmi Gazete, Ankara www.bddk.org.tr
8. BDDK, Bankaların İç Sistemleri Hakkında Yönetmelik, 01 Kasım 2006 tarih ve 26333 sayılı Resmi Gazete, An- kara www.bddk.org.tr

9. BDDK, Yeni Sermaye Yeterliği Uzlaşısı (Basel II) ve Geçiş Süreci Yol Haritası sunumu http://www.bddk.org.tr/turkce/Raporlar/Sunumlar/1985__www.bddk.org.tr_turkce_yayinlarveraporlar_sunum- lar_12122003_rygtd.pdf Ankara, 2003
10. Francis Fukuyama, Güven: Sosyal Erdemler ve Refahın Yaratılması, Çev: Ahmet Buğdaycı, Türkiye İş Bankası Yayınları, Ankara, 1998
11. GARTNER, Creating an Effective IT Governance Process ID Number: COM-21-2931, Stanford 2003
12. GARTNER, Defining IT Governance: Roles and Relationships ID Number: G00139986, Stanford 2006
13. GARTNER, Making IT Governance Work in Your Organization, Orlando Florida 2006
14. GARTNER, Toolkit: Making Application Governance Relevant,Simple, Usable and Active ID Number: G00142844, Stanford 2006
15. ISO/IEC 38500 Corporate Governance for Information Technology, İsviçre 2008
16. ITGI ve PricewaterhouseCoopers, IT Governance Global Status Report—2008, Meadows Illionis, 2008
17. ITGI, CobIT 4.1, Meadows Illionis, 2007
18. ITGI, CobIT Control Objectives 3rd Edition, Meadows Illionis, 2003
19. ITGI, CobIT Implementation Tool Set 3rd Edition , Meadows Illionis, 2000
20. ITGI, Enterprıse Value: Governance of IT Investments : The Val IT Framework 2.0 Extract, Meadows Illionis, ITSMF, Frameworks for IT Management, Amsterdam 2006
21. McKinsey and Co., Managing IT for Scale, Speed and Innovation, Londra 2006
22. Preben Jocabsen, HP’s Adaptive Enterprise ITVision, Kopenhag 2004
23. PricewaterhouseCoopers, Governance Survey: From Compliance to Strategic Advantage, Londra 2004
24. Sermaye Piyasası Kurulu, Kurumsal Yönetim İlkeleri 2. Basım, Ankara 2005
25. Steve McMillan ve Alicia Dellario, Linking Business with IT, Gartner ITxpo sunumu, IBM Corporation 2005
26. Türkiye Muhasebe Standartları Kurulu, Finansal Tabloların Hazırlanma ve Sunulma Esaslarına İlişkin Kavram- sal Çerçeve Hakkında Tebliğ Sıra No: 1 16 Ocak 2005 tarih ve 25702 sayılı Resmi Gazete, Ankara www.tmsk.org.tr
27. TÜSİAD, Kurumsal Yönetim En İyi Uygulama Kodu: Yönetim Kurulunun Yapısı ve İşleyişi İstanbul, 2002