Ana Sayfa Bilgi Sistemleri Bilgi Sistemleri Yönetimi ve Denetimi

Bilgi Sistemleri Yönetimi ve Denetimi

Bilgi Sistemleri Bağımsız Denetim Lisansı · Ders kodu: BS02

Bilgi SistemleriSPLBT denetimBT yönetimibilgi sistemi denetimCOBITIT governancekonu özetisınav sorularıücretsiz

Konu Özeti

01Bilgi Sistemleri Yönetişimi ve Strateji
  • BS Yönetişimi vs Yönetim: Yönetişim (Governance) — paydahların ihtiyaçlarını değerlendirip yön belirleme ve performans izleme (üst yönetim/yönetim kurulu sorumluluğu). Yönetim (Management) — yönetişim tarafından belirlenen hedeflere ulaşmak için faaliyetleri planlama, yürütme ve izleme (yöneticiler sorumluluğu).
  • BS Stratejisi: İşletmenin genel stratejisiyle uyumlu, uzun vadeli bilgi sistemleri hedefleri. Strateji belirleme: durum analizi → seçenekler → karar → uygulama → değerlendirme.
  • BS Yönlendirme Komitesi: Üst yönetim, iş birimleri ve BS liderlerinden oluşur. BS stratejisi ve bütçe kararları, projelerin önceliklendirilmesi, performans izleme.
  • Bilgi Güvenliği Yönetişimi: Gizlilik (Confidentiality), Bütünlük (Integrity), Erişilebilirlik (Availability) — CIA üçgeni. Bilgi güvenliği politikaları üst yönetim tarafından onaylanır.
  • Kurumsal mimari: İş mimarisi, işlevsel mimari, veri/bilgi mimarisi, teknik mimari katmanlarından oluşur. TOGAF, Zachman gibi çerçeveler kullanılır.
02Bilgi Sistemleri Yönetimi — Organizasyon ve Roller
  • CIO (Chief Information Officer): BS'den sorumlu üst düzey yönetici. BS stratejisini iş stratejisiyle uyumlaştırır, BS bütçe ve kaynaklarını yönetir.
  • Görevler Ayrılığı (Segregation of Duties — SoD): Tek bir kişinin bir işlemi baştan sona yürütememesi — hata ve sahtekârlığı önler. İşlem başlatma, yetkilendirme ve kaydetme farklı kişilerde olmalı.
  • BS Fonksiyonları: Uygulama geliştirme, sistem operasyonları, ağ/altyapı yönetimi, bilgi güvenliği, kullanıcı desteği (help desk), veritabanı yönetimi.
  • Risk Yönetimi adımları: Belirleme → Analiz → Değerlendirme → Yanıt (kabul, azaltma, transfer, kaçınma) → İzleme. Risk = Tehdit × Açıklık × Varlık Değeri.
  • Kalite Yönetimi: CMMI, ISO 9001. Kalite güvencesi (süreçlerin doğruluğu) ile kalite kontrolü (ürünlerin test edilmesi) ayrımı.
  • Dış Kaynak (Outsourcing): Risk: bağımlılık, veri güvenliği, kontrol kaybı. Hizmet Seviye Anlaşması (SLA — Service Level Agreement) zorunlu. İşletme dış kaynakları denetleme sorumluluğunu devredemez.
03Bilgi Sistemleri Denetimi — Kavramlar ve Denetim Türleri
  • BS Denetimi tanımı (ISACA): Bilgisayar sisteminin varlıklarının korunup korunmadığını, veri bütünlüğünün sağlanıp sağlanmadığını, sistem hedeflerinin gerçekleştirilip gerçekleştirilmediğini ve kaynakların etkin kullanılıp kullanılmadığını değerlendirme.
  • Denetim türleri: Finansal (mali tablolar), uyum (mevzuat), faaliyet/performans, BS denetimi (genel kontroller + uygulama kontrolleri). Ayrıca: çağdaş (concurrent), paralel simülasyon, gömülü denetim modülleri.
  • Kontrol alanları: Genel BS Kontrolleri (ITGC — IT General Controls): erişim kontrolü, değişim yönetimi, yazılım geliştirme, iş sürekliliği. Uygulama Kontrolleri: girdi, işleme, çıktı kontrolleri.
  • Kontrol türleri: Önleyici (preventive), tespit edici (detective), düzeltici (corrective). Ayrıca: manuel, otomatik, fiziksel, mantıksal.
  • Denetimde Önemlilik ve Risk: Doğal risk (inherent), kontrol riski (control), tespit riski (detection). Denetim riski = Doğal risk × Kontrol riski × Tespit riski.
04BS Denetim Faaliyeti — Planlama, Uygulama ve Raporlama
  • Denetim planlaması: Kapsam ve amaçlar belirleme, risk değerlendirmesi, kaynak tahsisi, denetim programı hazırlama. Risk tabanlı planlama — yüksek riskli alanlar önceliklendirilir.
  • Kanıt toplama yöntemleri: Mülakat, gözlem, doküman incelemesi, yeniden gerçekleştirme (reperformance), analitik prosedürler, bilgisayar destekli denetim araçları (CAAT — Computer Assisted Audit Tools).
  • Örnekleme türleri: İstatistiksel örnekleme (rastgele, sistematik, katmanlı), istatistiksel olmayan. Örnekleme riski: örnek sonucunun kitle için yanıltıcı olma ihtimali.
  • Denetim raporu unsurları: Amaç ve kapsam, metodoloji, bulgular, risk derecelendirmesi (yüksek/orta/düşük), öneriler, yönetim yanıtları.
  • BS Bağımsız Denetim Görüşü türleri: Olumlu, şartlı, olumsuz, görüş vermekten kaçınma.
05SPK (sermaye piyasası kurulu) Tebliğleri — BS Yönetimi ve Denetimi
  • BSYUE (VII-128.10) — BS Yönetimine İlişkin Usul ve Esaslar: Halka açık şirketler ve sermaye piyasası kurumları için BS yönetim gereklilikleri. BS politikaları, risk yönetimi, iş sürekliliği, değişim yönetimi, erişim kontrolü zorunlulukları.
  • BSBD Tebliği (III-62.2) — BS Bağımsız Denetimi: BS bağımsız denetim kuruluşlarının yetkilendirilmesi, faaliyete ilişkin genel esaslar, denetim metodolojisi, raporlama. Genel BS kontrolleri ve uygulama kontrolleri denetim kapsamında.
  • Bağımsız Denetim Standartları (Seri:X, No:22): Denetime tabi işletmeler, bağımsız denetçi nitelikleri, bağımsızlık ilkeleri, denetim sözleşmesi, raporlama standartları.
  • Bağımsızlık ilkeleri: Fikir bağımsızlığı (independence in mind) ve görünürde bağımsızlık (independence in appearance). Bağımsızlığı tehdit eden durumlar: öz inceleme, savunuculuk, yakınlık, yıldırma, kişisel çıkar.
  • Diğer düzenleyiciler: BDDK (bankalar), SEDD (güçlendirilmiş durum tespiti)K (sigorta/emeklilik), GİB (e-defter), TCMB (türkiye cumhuriyet merkez bankası). Her sektör için BS denetim gereklilikleri farklı.
06Uluslararası Çerçeveler — COBIT, ISO 27001, ITIL
  • COBIT 2019 (Control Objectives for Information and Related Technology): ISACA tarafından geliştirilmiş BS yönetişim ve yönetim çerçevesi. 6 temel ilke: paydaş ihtiyaçlarını karşılama, uçtan uca kurumsal yönetişim, tek entegre çerçeve, bütünleşik yaklaşım, yönetişim ve yönetimin ayrıştırılması, işletme ihtiyaçlarına uyarlama.
  • ISO/IEC 27001: Bilgi Güvenliği Yönetim Sistemi (BGYS/ISMS) standardı. Plan-Do-Check-Act (PDCA) döngüsü. Güvenlik kontrolleri: fiziksel, mantıksal, organizasyonel. Sertifikasyon mümkün. ISO 27002: uygulama kılavuzu.
  • ITIL (IT Infrastructure Library): BT hizmet yönetimi en iyi uygulama çerçevesi. Hizmet strateji, tasarım, geçiş, operasyon, sürekli iyileştirme. ITIL 4: hizmet değer sistemi (SVS).
  • COSO: İç kontrol çerçevesi. Kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim, izleme. Enterpirse Risk Management (ERM) çerçevesi de COSO kapsamında.
  • ISA (Uluslararası Denetim Standartları): IAASB tarafından yayınlanan denetim standartları. Türkiye'de KGK (kamu gözetimi kurumu) tarafından benimsendi. ISA 315 (risk değerlendirmesi), ISA 330 (risk yanıtları).
07BS Kontrolleri — Erişim, Değişim ve Uygulama Kontrolleri
  • Mantıksal erişim kontrolleri: Kimlik doğrulama (şifre, token, biyometri), yetkilendirme (rol tabanlı erişim — RBAC), hesap yönetimi (oluşturma, değiştirme, silme, gözden geçirme). Least privilege (en az yetki) ilkesi.
  • Değişim yönetimi (Change Management): Onaysız değişiklikleri önler. Adımlar: istek → analiz → onay → test → uygulama → dokümantasyon. Acil değişim (emergency change) ayrı süreç.
  • Yazılım geliştirme (SDLC): Sistem geliştirme yaşam döngüsü. Aşamalar: analiz, tasarım, geliştirme, test, geçiş, bakım. Şelale, çevik (agile), DevOps modelleri.
  • Uygulama kontrolleri: Girdi kontrolleri (edit check, doğrulama, yetkilendirme), işleme kontrolleri (tutarlılık, bütünlük), çıktı kontrolleri (dağıtım, mutabakat). Hash totals, kayıt sayıları, kontrol toplamları.
  • İş sürekliliği / Felaket kurtarma: BCP (Business Continuity Plan) ve DRP (Disaster Recovery Plan). RTO (Recovery Time Objective), RPO (Recovery Point Objective). Yedekleme: tam, artımlı, fark.
08Etik İlkeler — ISACA ve Bağımsız Denetçiler
  • Bağımsız denetçiler için temel etik ilkeler (5): Dürüstlük, Tarafsızlık, Mesleki yeterlilik ve özen, Gizlilik, Mesleki davranış.
  • Bağımsızlık tehditleri: Öz inceleme tehdidi (kendi çalışmasını denetleme), savunuculuk (müşteri çıkarlarını temsil), yakınlık (kişisel ilişki), yıldırma (baskıya maruz kalma), kişisel çıkar (finansal çıkar). Her tehdit için güvence önlemleri alınmalı.
  • ISACA Etik Kuralları (CISA için): Meslekle ilgili tüm faaliyetlerde dürüstlük ve tarafsızlık. Gizli bilgileri yetkisiz kişilerle paylaşmama. Kişisel çıkar için konumunu kötüye kullanmama. Yasalara ve mesleki standartlara uyma. Mesleki gelişime devam etme.
  • Çıkar çatışması: Denetçinin müşterisi veya denetim konusuyla kişisel/finansal çıkar ilişkisi. Açıklama yükümlülüğü ve çekilme.

Pratik Test

Bilgi Sistemleri Bağımsız Denetim Lisansı — Bilgi Sistemleri Yönetimi ve Denetimi konusu için interaktif test çöz. Şıklar karışık, anında açıklama.

100 Soru ile Pratik Teste Başla →