BibTex RIS Kaynak Göster

BİLGİ KRİTERLERİ ÇERÇEVESİNDE BİLİŞİM TEKNOLOJİLERİ DENETİMİ

Yıl 2012, Sayı: 87, 143 - 167, 01.12.2012

Musa Kayrak

Öz

Bilginin en değerli varlık olarak kabul edildiği bugünün dünyasında, verilerin bilgiye ve sonrasında bilgi birikimine dönüşmesi bilişim teknolojisi araçlarıyla sağlanmaktadır. Hayatımızın vazgeçilmez bir unsuru haline gelen bilişim teknolojileri BT , karar alma süreçlerinde belirleyici bir rol oynarken; eski kurumsal yapılar ve yönetim yaklaşımları ile bilgiden optimum düzeyde fayda sağlamak artık mümkün değildir. Halen yaşanmakta olan bilişim teknolojileri dönüşüm süreci, yönetim araçlarını değiştirdiği kadar, bilginin yaşam döngüsündeki risk ve kontrollerin doğasını da değiştirmiş ve dolayısıyla yeni denetim anlayışlarının ve prosedürlerinin ortaya çıkmasına neden olmuştur. Bu gelişmelerin paralelinde, standartlara uygun olarak ve risk odaklı bir denetim yaklaşımıyla yürütülen BT denetimi, yirminci yüzyılın son çeyreğinden itibaren denetim mesleğine yeni bir boyut kazandırmıştır. Bütünlük, güvenilirlik, gizlilik, uygunluk, süreklilik, verimlilik ve etkinlik gibi bilgi kriterleri çerçevesinde tespit edilen riskler ve kontrol hedefleri, hem kurum yöneticileri hem de denetçiler için yol göstericidir. Söz konusu bilgi kriterlerinden hareketle, BT denetiminin türü ve hedefleri doğrultusunda farklı denetim programları oluşturmak mümkündür. Aynı şekilde, BT yönetişimi, bilgi güvenliği ve verinin güvenilirliği gibi BT denetiminin önemli konularına ilişkin kontrol testlerinin ve maddi doğrulama testlerinin kapsamı, bilgi kriterlerinden yola çıkılarak belirlenebilir. Bu noktada, ulusal mevzuatta yer alan zorlayıcı hükümler ile ulusal ve uluslararası standartlar, başvurulması gereken en temel kaynaklardır

Anahtar Kelimeler

Bilişim Teknolojisi BT BT Denetimi Bilgi Kriterleri BT Yönetişimi

Kaynakça

  • Akolaş, Arzu (2004), “Bilişim Sistemleri ve Bilişim Teknolojisinin Küreselleşme Olgusu ve Girişimcilik Üzerine Yansımaları”, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, Sayı 2004/12.
  • Amerika Birleşik Devletleri Sayıştayı - GAO (2009), Federal Information System Controls Audit Manual, Amerika Birleşik Devletleri.
  • Asya Ülkeleri Sayıştaylar Birliği - ASOSAI (2001), Introduction to IT Audit.
  • Asya Ülkeleri Sayıştaylar Birliği - ASOSAI (2003), IT Audit Guidelines.
  • Avrupa Birliği Komisyonu (2007), Revision of the Internal Control Standards and Underlying Framework, Brüksel.
  • Avrupa Birliği Sayıştayı - ECA (2011), Guideline for Audit of IT Environment, Lüksemburg.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2007), COBIT 4.1, Amerika Birleşik Devletleri.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2009), Denetim, Güvence ve Kontrol Uzmanlarının BT Standartları, Rehberleri, Araçları ve Teknikleri, Amerika Birleşik Devletleri.
  • Bilgi Teknolojileri Yönetişim Enstitüsü - ITGI (2003), Board Briefing on IT Governance, Amerika Birleşik Devletleri.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2012a), COBIT 5, Amerika Birleşik Devletleri.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2012b), CISA Glossary, Amerika Birleşik Devletleri.
  • Bilişim Teknolojileri ve İnovasyon Kuruluşu - ITIF (2007), “Dijital Bilgi Devrimi Neden Bu Kadar Güçlü?”, http://www.itif.org/files/DQOL-1.pdf, (Erişim Tarihi: 11.10.2012).
  • Champlain, J Jack (2003), Auditing Information Systems, John Wiley & Sons, Inc., New Jersey.
  • CSOonline (2012), “The 15 Worst Data Security Breaches of the 21st Century”, http://www. csoonline.com/article/700263/the-15-worst-data-security-breaches-of-the-21st- century, (Erişim Tarihi: 03.10.2012).
  • Deloitte (2011), “Kurumların Bilgi Güvenliğine Yaklaşımı Zayıflıyor”, http://www.deloitte. com/view/tr_tr/tr/7c2f092493584310VgnVCM2000001b56f00aRCRD.htm, (Erişim Tarihi: 03.10.2012).
  • Demirel, Yavuz ve Durna, Ufuk (2008), “Bilgi Yönetiminde Bilgiyi Anlamak”, Erciyes Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, Sayı 30 (Ocak-Haziran).
  • Eker, Ö Umut (2006), “Türk Ceza Hukukunda Bilişim Suçları Eski TCK Bağlamında Hukukumuzda Yer Alan İlk Düzenlemeler ve 5237 Sayılı Yeni Türk Ceza Kanunu’nun İlgili Hükümlerinin Yorumu”, TBB Dergisi, Sayı 62.
  • Gartner (2012), “Gartner Says Worldwide IT Spending On Pace to Surpass $3.6 Trillion in 2012”, http://www.gartner.com/it/page.jsp?id=2074815, (Erişim Tarihi: 03.10.2012).
  • Gartner (2011), “IT Metrics: IT Spending and Staffing Report”, http://www.sgn.co.uk/ ScotiaGas/uploadedFiles/About_us/Stakeholder_info/Business_plan/Gartner%20 it_metrics_it_spending_and_s_210146.pdf, (Erişim Tarihi: 03.10.2012).
  • Guttman, Barbara ve Roback, Edward A. (1995), Computer Security, NIST Special Publications, Devlet Matbaası, Washington.
  • Gümrük ve Ticaret Bakanlığı (2010), “Operasyon”, http://eski.gumruk.gov.tr/tr-TR/ kacakciliklamucadele/Sayfalar/operasyon.aspx, (Erişim Tarihi: 03.10.2012).
  • Hindistan Sayıştayı (2006), “IT Audit Manual Volume I”, http://www.icisa.cag.gov.in/ background%20material-it%20environment/it-audit-manual/vol-1.pdf, (Erişim Tarihi: 03.09.2012).
  • Hinnsen, Peter (2009), Business/IT Fusion, MachMedia, Belçika.
  • Hinnsen, Peter (2012), The New Normal, MachMedia, Belçika.
  • Informationweek (2010), “Symantec SMB Study Shows Security Concerns Rising”, http:// www.informationweek.com/security/vulnerabilities/symantec-smb-study-shows- security-concer/225700914, (Erişim Tarihi: 03.11.2012).
  • İç Denetçiler Enstitüsü - IIA (2009), Uluslararası İç Denetim Standartları.
  • Kalkınma Bakanlığı (2012), 2012 Kamu Bilgi ve İletişim Teknolojileri Yatırımları, Ankara.
  • Karabacak, Bilge (2010), “İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapıları”, https:// www.bilgiguvenligi.gov.tr/siber-savunma/iki-kritik-kavram-kritik-altyapilar-ve-kritik- bilgi-altyapilari-2.html, (Erişim Tarihi: 03.11.2012).
  • Karabat, Burçin Çetin (2012), “Increasing Awareness of Insider Information Security Threats in Human Resource Department”, International Journal of Business and Management Studies, Yıl:4,No:1,http://www.sobiad.org/eJOURNALS/journal_IJBM/ arhieves/2012_Vol_4_n_1/burcin%20_cetin_karabat.pdf ,(Erişim Tarihi: 03.11.2012).
  • Kayrak, Musa (2012), “Avrupa Birliği Sayıştayında Mali Denetim Çerçevesinde Yürütülen BS Denetimi”, Dış Denetim, Sayı 5 (Temmuz - Ağustos - Eylül).
  • Menkus, Belden and Gallegos, Frederick (2001), An Introduction to the IT Auditing, EDP Auditing, Auerbach Publications, CRC Pres LLC, Amerika Birleşik Devletleri.
  • Protiviti (2012), “IT Audit Benchmarking Survey”, http://www.protiviti.com/en-US/ Documents/ Surveys/2012-IT-Audit-Benchmarking-Survey-Protiviti.pdf, (Erişim Tarihi: 02.11.2012).
  • Sayana, Anantha, S. (2002), “The IS Audit Process”, ISACA Journal, Sayı 2002/1.
  • Sayıştay (2007), Yönetim Bilgi Sistemi Çerçevesi, Ankara.
  • Sayıştay (2008), Taslak Bilişim Sistemleri Denetim Rehberi, Ankara.
  • Schroeder, Ron H. (2009), “Will EDP Auditors be an Extinct Species by 2000 A.D.?”, ISACA Journal, Sayı 2009/3.
  • Time Dergisi (2012), http://www.time.com/time/covers/0,16641,19830103,00.html, (Erişim Tarihi: 25.10.2012).
  • Türk Standardları Enstitüsü - TSE (2002), Bilgi Teknolojisi -Bilgi Güvenliği Yönetimi için Uygulama Prensipleri, Ankara.
  • Türkiye Bilişim Derneği - TBD (2010); “Bilişim Etiği”, http://www.tbd.org.tr/usr_img/cd/ kamubib14/raporlarPDF/RP2-2011.pdf, (Erişim Tarihi:11.10.2012).
  • Uluslararası Sayıştaylar Birliği - INTOSAI (1996), EDP Committee: IT Controls Student Notes.
  • Uluslararası Sayıştaylar Birliği - INTOSAI (2001), ISSAI 300.
  • Uluslararası Sayıştaylar Birliği - INTOSAI (2007a), Introduction to IT Audit.
  • Uluslararası Sayıştaylar Birliği - INTOSAI (2007b), ISSAI 1315.
  • Yıldız, Özcan R. (2007), “Bilişim Sistemleri Denetimi ve Sayıştay”, Sayıştay Dergisi, Sayı 65 (Nisan-Haziran).
  • Watson, Richard T. (2007), “Information Systems (ed.) Amerika Birleşik Devletleri: Global Text”, (Erişim Tarihi: 21.10.2012).

INFORMATION TECHNOLOGY AUDIT IN THE CONTEXT OF INFORMATION CRITERIA

Yıl 2012, Sayı: 87, 143 - 167, 01.12.2012

Musa Kayrak

Öz

of information technology transformation has altered the nature of the risks and controls in the lifecycle of information as well as management tools and thereby caused to the rise of new understandings in auditing and audit procedures. In parallel with these developments, IT audit carried out in accordance with standards and a risk-based approach has provided a new dimension to the audit profession since the last quarter of the twentieth century. Risks and control objectives determined within the framework of information criteria such as integrity, reliability, confidentiality, compliance, availability, effectiveness and efficiency provide guidance to both managers and auditors. It is likely to form different audit programs in line with IT audit type and objectives by relying on those information criteria. By the same token, the scope of control tests and substantive tests relating to the crucial topics in IT audit such as IT governance, information security and reliability of data can be determined by referring to information criteria. At this point, compelling provisions of national regulations and national and international standards are the most essential resources to be applied.

Anahtar Kelimeler

Information Technology IT IT Audit Information Criteria IT Governance

Kaynakça

  • Akolaş, Arzu (2004), “Bilişim Sistemleri ve Bilişim Teknolojisinin Küreselleşme Olgusu ve Girişimcilik Üzerine Yansımaları”, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, Sayı 2004/12.
  • Amerika Birleşik Devletleri Sayıştayı - GAO (2009), Federal Information System Controls Audit Manual, Amerika Birleşik Devletleri.
  • Asya Ülkeleri Sayıştaylar Birliği - ASOSAI (2001), Introduction to IT Audit.
  • Asya Ülkeleri Sayıştaylar Birliği - ASOSAI (2003), IT Audit Guidelines.
  • Avrupa Birliği Komisyonu (2007), Revision of the Internal Control Standards and Underlying Framework, Brüksel.
  • Avrupa Birliği Sayıştayı - ECA (2011), Guideline for Audit of IT Environment, Lüksemburg.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2007), COBIT 4.1, Amerika Birleşik Devletleri.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2009), Denetim, Güvence ve Kontrol Uzmanlarının BT Standartları, Rehberleri, Araçları ve Teknikleri, Amerika Birleşik Devletleri.
  • Bilgi Teknolojileri Yönetişim Enstitüsü - ITGI (2003), Board Briefing on IT Governance, Amerika Birleşik Devletleri.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2012a), COBIT 5, Amerika Birleşik Devletleri.
  • Bilgi Sistemleri Denetim ve Kontrol Birliği - ISACA (2012b), CISA Glossary, Amerika Birleşik Devletleri.
  • Bilişim Teknolojileri ve İnovasyon Kuruluşu - ITIF (2007), “Dijital Bilgi Devrimi Neden Bu Kadar Güçlü?”, http://www.itif.org/files/DQOL-1.pdf, (Erişim Tarihi: 11.10.2012).
  • Champlain, J Jack (2003), Auditing Information Systems, John Wiley & Sons, Inc., New Jersey.
  • CSOonline (2012), “The 15 Worst Data Security Breaches of the 21st Century”, http://www. csoonline.com/article/700263/the-15-worst-data-security-breaches-of-the-21st- century, (Erişim Tarihi: 03.10.2012).
  • Deloitte (2011), “Kurumların Bilgi Güvenliğine Yaklaşımı Zayıflıyor”, http://www.deloitte. com/view/tr_tr/tr/7c2f092493584310VgnVCM2000001b56f00aRCRD.htm, (Erişim Tarihi: 03.10.2012).
  • Demirel, Yavuz ve Durna, Ufuk (2008), “Bilgi Yönetiminde Bilgiyi Anlamak”, Erciyes Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, Sayı 30 (Ocak-Haziran).
  • Eker, Ö Umut (2006), “Türk Ceza Hukukunda Bilişim Suçları Eski TCK Bağlamında Hukukumuzda Yer Alan İlk Düzenlemeler ve 5237 Sayılı Yeni Türk Ceza Kanunu’nun İlgili Hükümlerinin Yorumu”, TBB Dergisi, Sayı 62.
  • Gartner (2012), “Gartner Says Worldwide IT Spending On Pace to Surpass $3.6 Trillion in 2012”, http://www.gartner.com/it/page.jsp?id=2074815, (Erişim Tarihi: 03.10.2012).
  • Gartner (2011), “IT Metrics: IT Spending and Staffing Report”, http://www.sgn.co.uk/ ScotiaGas/uploadedFiles/About_us/Stakeholder_info/Business_plan/Gartner%20 it_metrics_it_spending_and_s_210146.pdf, (Erişim Tarihi: 03.10.2012).
  • Guttman, Barbara ve Roback, Edward A. (1995), Computer Security, NIST Special Publications, Devlet Matbaası, Washington.
  • Gümrük ve Ticaret Bakanlığı (2010), “Operasyon”, http://eski.gumruk.gov.tr/tr-TR/ kacakciliklamucadele/Sayfalar/operasyon.aspx, (Erişim Tarihi: 03.10.2012).
  • Hindistan Sayıştayı (2006), “IT Audit Manual Volume I”, http://www.icisa.cag.gov.in/ background%20material-it%20environment/it-audit-manual/vol-1.pdf, (Erişim Tarihi: 03.09.2012).
  • Hinnsen, Peter (2009), Business/IT Fusion, MachMedia, Belçika.
  • Hinnsen, Peter (2012), The New Normal, MachMedia, Belçika.
  • Informationweek (2010), “Symantec SMB Study Shows Security Concerns Rising”, http:// www.informationweek.com/security/vulnerabilities/symantec-smb-study-shows- security-concer/225700914, (Erişim Tarihi: 03.11.2012).
  • İç Denetçiler Enstitüsü - IIA (2009), Uluslararası İç Denetim Standartları.
  • Kalkınma Bakanlığı (2012), 2012 Kamu Bilgi ve İletişim Teknolojileri Yatırımları, Ankara.
  • Karabacak, Bilge (2010), “İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapıları”, https:// www.bilgiguvenligi.gov.tr/siber-savunma/iki-kritik-kavram-kritik-altyapilar-ve-kritik- bilgi-altyapilari-2.html, (Erişim Tarihi: 03.11.2012).
  • Karabat, Burçin Çetin (2012), “Increasing Awareness of Insider Information Security Threats in Human Resource Department”, International Journal of Business and Management Studies, Yıl:4,No:1,http://www.sobiad.org/eJOURNALS/journal_IJBM/ arhieves/2012_Vol_4_n_1/burcin%20_cetin_karabat.pdf ,(Erişim Tarihi: 03.11.2012).
  • Kayrak, Musa (2012), “Avrupa Birliği Sayıştayında Mali Denetim Çerçevesinde Yürütülen BS Denetimi”, Dış Denetim, Sayı 5 (Temmuz - Ağustos - Eylül).
  • Menkus, Belden and Gallegos, Frederick (2001), An Introduction to the IT Auditing, EDP Auditing, Auerbach Publications, CRC Pres LLC, Amerika Birleşik Devletleri.
  • Protiviti (2012), “IT Audit Benchmarking Survey”, http://www.protiviti.com/en-US/ Documents/ Surveys/2012-IT-Audit-Benchmarking-Survey-Protiviti.pdf, (Erişim Tarihi: 02.11.2012).
  • Sayana, Anantha, S. (2002), “The IS Audit Process”, ISACA Journal, Sayı 2002/1.
  • Sayıştay (2007), Yönetim Bilgi Sistemi Çerçevesi, Ankara.
  • Sayıştay (2008), Taslak Bilişim Sistemleri Denetim Rehberi, Ankara.
  • Schroeder, Ron H. (2009), “Will EDP Auditors be an Extinct Species by 2000 A.D.?”, ISACA Journal, Sayı 2009/3.
  • Time Dergisi (2012), http://www.time.com/time/covers/0,16641,19830103,00.html, (Erişim Tarihi: 25.10.2012).
  • Türk Standardları Enstitüsü - TSE (2002), Bilgi Teknolojisi -Bilgi Güvenliği Yönetimi için Uygulama Prensipleri, Ankara.
  • Türkiye Bilişim Derneği - TBD (2010); “Bilişim Etiği”, http://www.tbd.org.tr/usr_img/cd/ kamubib14/raporlarPDF/RP2-2011.pdf, (Erişim Tarihi:11.10.2012).
  • Uluslararası Sayıştaylar Birliği - INTOSAI (1996), EDP Committee: IT Controls Student Notes.
  • Uluslararası Sayıştaylar Birliği - INTOSAI (2001), ISSAI 300.
  • Uluslararası Sayıştaylar Birliği - INTOSAI (2007a), Introduction to IT Audit.
  • Uluslararası Sayıştaylar Birliği - INTOSAI (2007b), ISSAI 1315.
  • Yıldız, Özcan R. (2007), “Bilişim Sistemleri Denetimi ve Sayıştay”, Sayıştay Dergisi, Sayı 65 (Nisan-Haziran).
  • Watson, Richard T. (2007), “Information Systems (ed.) Amerika Birleşik Devletleri: Global Text”, (Erişim Tarihi: 21.10.2012).
Toplam 45 adet kaynakça vardır.

Ayrıntılar

Birincil Dil Türkçe
Bölüm Research Article
Yazarlar

Musa Kayrak Bu kişi benim

Yayımlanma Tarihi 1 Aralık 2012
Yayımlandığı Sayı Yıl 2012 Sayı: 87

Kaynak Göster

APA Kayrak, M. (2012). BİLGİ KRİTERLERİ ÇERÇEVESİNDE BİLİŞİM TEKNOLOJİLERİ DENETİMİ. Sayıştay Dergisi(87), 143-167.