Yeni İş Modellerinde İŞ-BTSüreç Uyumluluğu için Araçlar ve
Transkript
Yeni İş Modellerinde İŞ-BTSüreç Uyumluluğu için Araçlar ve
Yeni İş Modellerinde İŞ-BTSüreç Uyumluluğu için Araçlar ve Teknikler Cem Coban, Enterprise Architect Oturumuzun ana başlıkları: Giriş İş süreç uyumluluğunun sağlanmasında karşılaşılan Teknik ve Organizasyonel sorunlar nelerdir? BT denetiminde kullanılan metodoloji örnekleri nelerdir? Etkin denetim modelini ve kontrol hedeflerini nasıl konumlandırırız? İş süreç modelleri ile uyumluluk gereksinimleri arasında nasıl bir köprü kurarız? Geleceğin BT si olan Bulut iş modellerinde denetim yaklaşımı nasıl olmalıdır? Giriş • Günümüzde İç Denetim ve Kontrol; kuruluşlarda alınan ve verilen hizmetlerin denetlenmesi anlamında hemen her sektörde ihtiyaç haline gelen bir yönetim sistemidir. • Teknoloji ve iş modelleri değiştikçe müşteri ihtiyaç ve isteklerinin karşılanması yolu ile müşteri tatmininin sağlanması yanında denetimde de çeviklik ihtiyacını doğurmaktadır. Denetim Kavramı Denetim kavramının, Batı dillerindeki karşılığı (audit) kökenini oluşturan Latince audire kelimesi; işitmek, dikkatlice dinlemek anlamına gelmektedir. Denetim kavramı ile ilgili olarak, sosyal bilimlerin birçok dalında farklı tanımlamalar yapılmaktadır. Denetimin Türkçe’de yaygın olarak kullanılan anlamı, Türk Dil Kurumunun yaptığı tanımda karşılığını bulmaktadır. Denetim İle İlgili Uluslar Arası Kuruluşlar • IIA (İç Denetçiler Enstitüsü) • INTOSAI (Uluslararası Yüksek Denetleme Kuruluşları Örgütü) • COSO (Committee of Sponsoring Organizations of the Treadway Commission) • Bilgi Sistemleri Denetimi ve Kontrolü Derneği (ISACA: Information Systems Audit and Control Association) COBIT ve Denetimi Kontrol ve Uygulama Yöntemleri Denetim modelleri Sarban esOxley COSO ABD güvenlik ve müdahale komisyonu COBIT ISO 20000 ASL Kalite Sistemi BS 15000 BT Planlama ITIL Proje Yönetimi IT Security Uyg. Geliş. (SDLC) CMMI Hizmet Yönetimi Kalite sistemleri & Yönetim sistemleri BT operasyonları ISO 1779 9 PMI TSO IS Strategy ISO 6 Sigma Mevcut Çerçevelerin (Framework) Kullanım İstatistikleri Çerçeveler (Framework) COBIT Hiç Kullanılmıyor 8% Mevcut Standartları Etkiler Kısmen Takip Ediliyor 32% 44% CMM Tamamen Takip ediliyor ITIL COBIT ISO 27001 16% NIST TickIT ITIL 14% 30% 46% 10% ISO 27001 36% 24% 32% 8% CMM 52% 32% 14% 2% PMBOK COSO PRINCE2 N a rro w B ro a d COBIT 5: Geçmişi Kapsamın Evrimi Governance of Enterprise IT IT Governance Val IT 2.0 Management (2008) Control Risk IT (2009) Audit COBIT1 1996 COBIT2 1998 COBIT3 2000 COBIT4.0/4.1 COBIT 5 2005/7 2012 ISACA (www.isaca.org/cobit ) tarafından sunulan iş yapısı (framework) © 2012 ISACA® All rights reserved. 8 COBIT 5: Süreçler(cont.) Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved. 9 İş süreç uyumluluğunun sağlanmasında karşılaşılan Teknik ve Organizasyonel sorunlar nelerdir? Organizasyonel Sorunlar 1. Finansal Hizmetler iç denetim ekiplerinin karşılaştığı uyumluluk sorunları 2. Kalabalık ve yüklü denetim ve risk ajandaları 3. İç Denetim Statüsünün Yükselişi 4. Artan Teknoloji Riskleri 5. Üçlü Savunma Hattı 6. İç Denetim için faydalanılacak kaynaklar www.theiia.org/goto/CBOK Ana sorunlar Zor zamanlardan geçiyoruz Şirketlerin iş yükleri değişiyor ve genişliyor Şirketlerde rollerdeki artış beklentileri de arttırıyor Teknoloji hızla değişiyor Yeni savunma modelleri? İç Denetim için Kaynak Yetkinlikleri Uyumluluk Sorunları • CEA (Chief Audit Executive)’ler için uyum/regülasyon ve operasyonel riskler 2015 yılının en önemli ve denetim planının en üstünde yer alan konulardır • Regülasyonlar için yeni kurumlar devreye giriyor • Yürürlüğe giren kanun/regülasyon/mevzuat sayısı hiç daha önce olmadığı kadar sık yenilenmekte Uyumluluk Sorunları Rekor cezalar İç denetimin uyumluluk konusuna daha fazla zaman ayırması “Bankalar düzenli incelemeler nedeniyle iç denetimlere olan bağımlılıklarını arttırmakta, düzenleyici uyum taleplerine odaklanan konsantre özel denetim ekipleri ile yol almaktadır” – Jenitha John, CAE, FirstRand, South Africa “Wall Street bankaları ve yabancı rakipleri mali krizden bu yana ABD’nin yasal yaptırımları için 100 Milyar USD üzerinde cezalar ödediler…” –FinancialTimes.com, 3/25/14 Kalabalık ve yüklü denetim ve risk ajandaları • Ajanda içerikleri gittikçe artıyor • Paydaş ve yatırımcı beklentileri artıyor • Regülasyon ile ilgili beklentiler hiç azalmayacak • Şirket kurulları iç denetim ve risk birimlerine süregelen davalarda gelebilecek cezalara ve regülatif yaptırımlara karşı daha çok güven besliyor İç Denetim Statüsünün Yükselişi İyi haber: İç denetim giderek yönetim seviyesinde boy gösteren ve takdir kazanan bir rol olarak yükselen değer taşımaktadır Denetim bulguları ile ilgili öneriler yönetimce oldukça önemli olarak değerlendirilmekte ve takip edilmektedir Yönetim kurulu üyeleri ve yöneticiler ile daha yakın çalışma Kurumun stratejik girişimleri ile ilgili hedeflerine ilk elden erişim Kötü Haber: İç Denetim’in önemi artarken sizden beklentilerin değişimine dikkat! Dış denetçilerin, regülasyon kurumlarının, yönnetici ve diraktörlerin denetimden beklentileri gittikçe artmaktadır Paydaşlar yanlış beklentilere neden olacak ihtimaller üzerinde durabilmektedir Yalnızca IIA standardlarına uyumlu olmak artık yeterli değildir Dış denetim ve regülasyon kurumlarına daha çok danışmanlık hizmetleri sağlanmaktadır Regülasyon beklentilerinin iç denetim için sorun yönetimine dönüşmemesine dikkat edilmelidir Finansal hizmetlerde çalışan iş denetim ekiplerinin %69’u denetim konitesine raporlamaktadır; tüm sektörlerde ise bu oran %54’dür Artan Teknoloji Riskleri Teknoloji kabiliyetleri organizasyonların bunları değerlendirmesi, denetlemesi, s,ndirmesi ve kontrol etmesinden daha hızlı büyümekte ve gelişmekte (Bulut, Mobil teknolojileri) Günümüzün Banka Hırsızları silahlı soygunlar yerine teknolojiyi kullanıyorlar Finans sektöründe çalışan iş denetim uzmanlarının iş yükleri BT denetimi için yönetilen denetim aktivitesinden fazladır Kamuoyuna yansıtılan veri ihlalleri genellikle ne zaman ihlale uğradığınıza bağlı olarak itibar kabı yaşamanıza neden olmakta Finans sektöründe veri ihlali olama olasılığı diğer sektörlere göre oldukça fazladır (%43’e karşı %34). Big data’nın (güvenlik logları ...) saklanması, işlenmesi ve anlamlandırılması gerekiyor Bağlı olmak – artık yalnızca bilgisayarınızın şifresi ile erişilebilir olmak değildir Değişmekte olan teknoloji için yeterli yetkinlikte denetim uzmanlarının bulunması ayrıca bir zorluk olmaktadır Üçlü Savunma Hattı • Dünyada finans sektörünün %78 oranında takip ettiği model. • Tüm hatlar mevcut olmalı— birbirinden ayrı ve net olarak tanımlı ise oldukça güçlü bir yapı sağlar • Harmanlanmış yapılarda şunlara dikkat edin: • Denetim Komitesine doğrudan raporlamalıdır. • Birleşen savunma hatlarının potansiyel riskleri raporlanarak duyurulmalıdır. • İç güvence birimlerinin her birinin doğrudan raporlayacağı tek bir yönetici olmasını sağlayın. İç Denetim Kaynaklarının Sorunları İç denetimde bugün bilgi alanları oldukça genişlemiştir: teknoloji, iş operasyonu, finansal hizmetler, iletişim, düzenleyici uyumluluk, siber güvenlik, gizlilik, tedarikçi yönetimi, iş sürekliliği, yasal konular, kantitatif analizler… Pazarda denetim konusundaki istihdam oldukça yüksek oranlardadır Manuel ve Otomatik denetim çözümlerinin yeterince süreç bilgisine sahip olmayan denetçilerce değerlendirilememesi Stratejik seviyeden bulgu seviyesine bir izlenebilirlik takibi olmaması İç Denetim Kaynak Yetkinlikleri “Finansal denetim fonksiyonlarının ışığında bunların odaklarının finansal risklerden daha çok operasyonel risklere doğru yönelmesi ve işe alınan denetim uzmanlarının da yetkinliklerinin bu yönde gelişmesi isteniyor” –Mark Howard, SVP and CAE, USAA, San Antonio, TX BT denetiminde kullanılan metodoloji örnekleri nelerdir? Araç ve Teknikler COBIT 5 Araçları VSM ile İş Süreç Kontrolleri ITIL V3:2011 Değerlendirme Uygulama Portföy Değerlendirmesi Data Analytics: ATA COBIT 5 Özet Microsoft Confidential Özet – Detay Microsoft Confidential Microsoft Confidential Business Value / Maturity Assessment legend Maturity 2 Low 3 Medium 4 Moderate 5 High Process, organization, metrics, technology doesn’t exist 1 Critical Manual Process, siloed organization exists but metrics, technology doesn’t exist Manual Process, siloed organization exists and metrics exist but technology is dispersed (no standardization) Semi automated Process, organization, KPI metrics, technology exist but some are not integrated 2 High Business Value 1 Critical 3 Medium 4 Low Fully automated Process, organization, KPI metrics, technology exist and all integrated 5 No 26 There is no business value in terms of financial and architectural impact on sales, manufacturing and people’s efficiency and there important is loss There is no business value in terms of financial impact on sales, manufacturing and people’s efficiency there is loss of productivity There is no loss on sales, manufacturing and people’s efficiency but there is still no business value generated Partial business value generated which has only minor impact on sales, marketing and people’s efficiency Huge tangible and intangible business value on sales, product and people’s efficiency Unspecified Not Evaluated COBIT 5 Heatmap - Governance Processes Optimize the value contribution to the business from the business processes, IT services and IT assets resulting from investments made by IT at acceptable costs. • Continually evaluate the portfolio of IT enabled investments, services and assets to determine the likelihood of achieving enterprise objectives and delivering value at reasonable cost. Optimize value creation by measuring the tangible/intangible benefit of the investments. • Do financial value management through full lifecycle of the investment • Link business KPIs with the IT KPIs to report the value provided with the IT investments • Add financial visibility to the current MS Project and Portfolio system and link the portfolio with business KPIs Ensure that the resource needs of the enterprise are met in the optimal manner, IT costs are optimized, and there is an increased likelihood of benefit realization and readiness for future change. • Define key goals, measures and metrics for resource management. • Establish principles related to safeguarding resources. • Align resource management with enterprise financial and HR planning. • Communicate and drive the adoption of the resource management strategies, principles, and agreed-on resource plan and enterprise architecture strategies. Monitor the key goals and metrics of the resource management processes and establish how deviations or problems will be identified, tracked and reported for remediation. • Monitor the allocation and optimization of resources in accordance with enterprise objectives and priorities using agreed-on goals and metrics • Monitor IT sourcing strategies, enterprise architecture strategies, IT resources and capabilities to ensure that current and future needs of the enterprise can be met • Monitor resource performance against targets, analyze the causes of deviations, and initiate remedial action to address the underlying causes COBIT 5 Heatmap – Management Processes Potential Business Value Generating Capabilities • • • • IT-related risk is identified, analysed, managed and reported A current and complete risk profile exists. All significant risk management actions are managed and under control. Risk management actions are implemented effectively. • Stakeholders are satisfied with the quality of solutions and services. • Project and Service Delivery result are predictable • Quality requirements are implemented in all processes. • • • • A transparent and complete budget for IT accurately reflects planned expenditures. The allocation of IT resources for IT initiatives is prioritised based on enterprise needs. Costs for services are allocated in an equitable way. Budgets can be accurately compared to actual costs. Most Immature Capabilities • Relevant stakeholders are engaged in the projects • The scope and outcomes of projects are viable and aligned with objectives • Project plans are likely to achieve the expected outcomes • Project activities are executed according to the plans • There are insufficient Project resources to perform activities according to the plan • The Project expected Benefits are usually achieved and accepted • Toll implementation is underway for increasing the maturity of the process • Sources of information are partially identified and classified. • Knowledge is used and partially shared. • Knowledge sharing is not embedded in the culture of the enterprise yet. • Knowledge is rarely updated and sometimes improved to support requirements. • The architecture and standards are not effective in supporting the enterprise. • A portfolio of enterprise architecture services doesn’t support agile enterprise change. • Apprppriate and up-to-date domain and/or federated architectures partially exist at the Business process domain that provide reliable architecture information. • A common enterprise architecture framework and methodology as well as an integrated architecture repository are not used to enable re-use efficiencies across the enterprise. Value Stream Mapping VSM Tekniği ile Süreçlere Denetim Kontrol Noktaları Kontrol hedeflerinin süreç mevcut durumunda incelenmesi ITIL V3:2011 ITIL V3:2011 Assessment: Samples Application Portfolio Application Portfolio Assessment: Samples Project Prioritization Tool Project Prioritization Tool Strategic Fit Weighting Scale Alignment w/ Market Company Positioning Goals Economic Impact Project Prioritization Tool Feasibility Revenue Potential Profitability & Margin Growth Potential Technical Risk 15% 10% 10% 15% 15% 10% 5% 5% Project Project Score Strategic Fit Economic Impact Feasibility Project 1 2 3 4 6 6 9 7 8 7 Project 10 8.0 3.4 3.2 1.4 Project 2 3 6 8 6 7 7 3 8 6 Project 1 5.5 1.2 2.9 1.5 Ranking Criteria & Definitions: Project 3 8 6 6 6 7 7 6 5 7 Project 2 5.9 2.2 2.7 1.0 Alignment with Company Goals - how aligned is this project to corporate goals & objectives? Project 4 9 8 6 5 6 4 2 3 4 Project 3 6.6 2.7 2.7 1.2 Project 5 5 4 6 6 5 4 10 8 3 Project 4 5.7 3.2 2.0 0.6 Project 6 1 2 2 3 2 5 2 3 1 Project 5 5.5 2.0 2.0 1.6 Project 7 1 2 2 3 1 4 3 5 4 Project 9 5.0 1.6 2.2 1.3 Project 8 6 7 4 4 1 2 1 2 3 Project 8 3.6 2.4 0.9 0.4 4 5 2 7 4 6 7 6 5 Project 7 Project 9 2.5 0.7 1.1 0.8 Project 6 2.4 0.7 1.4 0.4 Project 10 9 8 8 8 9 7 6 7 9 Economic Impact Projects & Intiatives Feasibility Market Positioning Core Capabilities Revenue Potential Profitability & Margin Growth Potential Technical Risk Resources Financial Resources People 15% 15% 10% 10% 15% 15% 10% 5% 5% Total Weighting Resources - Resources Financial People Note: Sort by selecting all cells then click "Data"in the navigation menu and "Sort". You can sort by Project Score (Largest to Smallest). Core Capabilities 15% Strategic Fit Alignment w/ Company Goals 100% Market Positioning - how well does this initiative position us ahead of our competition? Core Capabilities - does this initiative leverage our internal core capabilites (technology, operations, sales & distribution? Revenue Potential - what is the anticipated revenue for this product? Profitability & Margin - how solid are the anticipated margins for this product? Growth Potential - what is the anticipated market growth rate? Project 1 Project 10 Execute Project 9 Feasibility Project 3 Execute Execute Bubble Size = Economic Impact Execute Project 2 Execute Product Management Product Management Product Management Product Management Product Management Product Management Product Management Pricing Pricing Top Investment Priority Pricing Top Investment Priority Pricing Top Investment Priority Pricing Top Investment Priority Pricing Project 6 Project 8 Low Potential Cuts Low Back Burners Strategic Fit High Related IAA Activities BAB3601 Define Product Pricing Rules Price product using previous history Use predictive modeling to determine pricing Rapidly price product Price product bundles Price fee-for-service products Incorporate internal and external((Customer Analytical data, sales channel,campaign, ) data into pricing Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Product Management High Investment Priority Product Portfolio Management Product portfolio tracking Control Risk Management High Investment Priority Underwriting Management Project 7 Project 4 MS Project Server IAA CBM Component Pricing Top Investment Priority System 6 Detail CBM Component Top Investment Priority Spectra Top Investment Priority Execute Aksigorta WEB Priority Execute Aktif07 Direct/Contro l/Execute Component Proaktif Top Priorities Project 5 SAT Agency Future Potentials High SAT Bancassurace Resources - People - do we have the skills & bandwidth to execute this initiative? Akçöüzm Resources - Financial - do we have the financial resources to execute this initiative? Aktif 07 BankAssurance Technical Risk - what is the probability of overcoming the technical challenges of the project? Business Activity BAB0686 Analyse Product And Product Bundle Profitability Business Activity BAB0970 Analyse Product Development Process Performance Business Activity BAB0690 Analyse Product Performance Business Activity BAB0692 Analyse Product Volume Sales by Channel Business Activity BAB1107 Evaluate Internal Product Capability Business Activity BAB0930 Forecast Product Benefit Business Activity BAB0859 Forecast Product Cost Business Process BPB0724 Analyse Statistics For Product Development Business Process BPB0713 Monitor Product Performance Underwriting Management Business Activity BAB0634 Allocate Application To Underwriter Etkin denetim modelini ve kontrol hedeflerini nasıl konumlandırırız? Etkin denetim modeli için 12 öneri Sahteciliğe karşı tetikte olun Denetim planları ve risk analizi için daha stratejik düşünün Uyumluluk yönetimini iyileştirmek ve hızlandırmak için danışmanlık alın Operasyon, uyum ve finansal olmayan raporlama sorunlarına odağı genişletin Otomatikleşti rilmiş kontrollerin kullanımı ile kontrol yapınızı iyileştirin Teknoloji Destekli Denetim Yapın Ortaya çıkan riskler için daha erken uyarı Etkin bir denetim modeli için Risk ve uyumluluğu yönetmekte olan diğer bağımsız birimlerle daha etkin işbirliği Yönetim kurulu ve yönetim ile etkili iletişim yoluyla güvenceyi arttırın Risk yönetimini çalışır kılacak savunma hatlarını güçlendirin Risk kültüründeki zafiyetleri gösteren işaretleri izleyin Organizasyo nun karar verme hızını arttıracak bilgileri iyileştirin Denetim Metodolojisinin Rafine Edilmesi • • • • • • • Denetim Kılavuzları BT Denetim Kılavuzları Denetim Metodolojisi Genel Denetim Prosedürü Internal Audit Protocol Denetim Proje Planı Denetim İş akışı eğitimi Denetim Teknoloji Sistemleri - Kullanımı Bir Veri Analiz Programı Geliştirin (Data Analytics) İleri düzeyde denetim uygulayan şirketler kritik risk alanları ihtiva eden alanlar için veri analizi yatırımları yapmakta ve burada toplanan verilerin iş süreçleri ile uyumlandırarak anlamlı bulgular elde etmektedirler. Bu analiz çıktıları: • Denetim esnasında ortaya çıkan taktik sorunların anlaşılmasını • Uygulamaların ürettiği bilgilerin değerlendirilerek denetim çıktılarına katkıda bulunmasını • Denetim ekibinin iş kolu ve üst yönetime ilgili bulguların iletişimini sağlarken • Veri analizi çıktılarının ilgili iş kollarınca onaylanmasının sağlanması ve yeni denetim ekibi çalışanlarının eğitimi için kullanılır Sürekli İzleme Programları Geliştirme 1. Çalışma Grubu Oluşturulması 2. Yönetim Desteğinin alınması 3. Risk Değerlendirmesi 4. Uygun alanların otomasyona tabi tutulması 5. Değerlendirme yaklaşımının belirlenmesi 6. Bulgu için eşik seviyelerinin belirlenmesi 10. Verilerin analiz edilmesi 9. Pilot programın implemente edilmesi 8. Standart raporların geliştirilmesi 7. Acil durum için Standart prosedürlerin belirlenmesi İş süreç modelleri ile uyumluluk gereksinimleri arasında nasıl bir köprü kurarız? İç Denetim Sürecinde Teknoloji Kullanımı Süreç ve Kontrol Yönetimi Arasındaki bağlantı Teknolojik Sorunlar • Denetime tabi olan iş ve BT süreçlerinin henüz tasarım/revizyon esnasında belirlenmesi ve izlebilir olması için kontrol noktaları belirlenmesi • Risk kriterlerinin kontrol noktalarından toplanan bilgilerle otomatik veya manuel değerlendirilmesi • Tasarımın kontrol yönetimince değiştirilebilmesi • Mevzuat/regülasyon/uyumluluk değişikliklerine yüksek adaptasyon • Dış Denetçi için şeffaf veri ve raporlama kolaylığı • İç denetim kapsamına hakim ve her zaman ulaşılabilir olması İç Denetim Modelinin Otolojik Gösterimi • Süreçler ve aktiviler arasındaki bağın ve izlenebilir iç kontrollerin bağlanması • Risk ve buna bağlı bulguların kontrol hedefleri ile kontrol edilerek veri analizine hazır bulgu oluşturulması • Bulguların aktiviler ile çözümlenmesi (otomatik/manuel) Senaryo: Tedarik-Satın Alma • • • • Süreçlerde yer alan kontrol noktalarını nasıl takip ediyoruz? Süreç içinde yer alan roller arasında uyum ve regülasyonu ilgilendiren neler var? Hangi verilerin analizi bize denetim bulgusu kazandırır? Süreçte ceza olarak geri dönecek adımları izliyor muyum? Süreç Modelinin Zenginleştirilmesi Denetim Metodolojisinin Özeti Geleceğin BT si olan Bulut iş modellerinde denetim yaklaşımı nasıl olmalıdır? Questions? The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. COSO Modeli; kontrol ortamı, risk değerlendirme, kontrol faaliyetleri, bilgi ve iletişim ile izleme olmak üzere beş unsurdan oluşmaktadır: Kontrol Ortamı Risk değerlendirme Kontrol Faaliyetleri Bilgi ve İletişim İzleme 1.2 İç Denetim Türleri Mali denetim Uygunluk denetimi Performans denetimi Bilgi sistemleri denetimi 1.3 Bilgi Sistemleri Denetimi Bilgi sistemleri de diğer sistemlerde olduğu gibi dışarı ile temasta oldukları için bir takım risklerle karşı karşıyadırlar. Şekil 1.1 de bilgi sistemlerinde karşılaşılabilen riskler görülmektedir. Şekil 1.1 Bilgi sitemlerinde karşılaşılabilen riskler Yönetim Kontrolleri Teknik Kontroller Şekil 1.2 BT denetimi sınıflandırması Tespit etmeye yönelik kontroller Yönetişim Kontrolleri Uygulma kontrolleri Önleyici kontroller Genel kontroller Düzeltici kontroller 1.3.1 Bilgi Teknolojileri Denetimi Sınıflandırması Şekil 1.2 de görülebileceği üzere BT denetimini çeşitli sınıflandırmalara tabi tutmak mümkündür. Denetim çalışmalarının en başında gelen ve temelinde yatan sistemin teknik açıdan denetlenmesidir. Yine bunun gibi kontrolleri değişik özelliklerine göre sınıflandırmak mümkün olacaktır. Bankacılık Düzenleme ve Denetleme Kurumu; bu sınıflandırmalar içinde Genel Kontrol ve Uygulama Kontrollerini takip etmektedir. 1.3.2 Bilgi Teknolojileri Denetim Süreci Denetim yaklaşımının belirlenmesi ve planlama. Denetim amacının ve çerçevesinin belirlenmesi. Eldeki bilgilerin değerlendirilmesi Bilinen risklerin değerlendirilmesi Denetim plan ve programının oluşturulması. Denetimin gerçekleştirilmesi. Görüşmeler. Uygunluk incelemesi. Prosedürlerin analitik incelemesi Detaylı testler. Kanıt elde etme. Denetimin sonuçlandırılması Sonuçların değerlendirilmesi. Raporun oluşturulması ve yayınlanması 1.3.3.Bilgi Teknolojileri Denetim Alanları Bilgi sistemleri yapısal olarak 4 ana başlık altında ele alınarak incelenir. Bunlar; Sistem Geliştirme Süreçleri Sistemler Yazılım Kontrolleri Uygulama Kontrolleri Veri Yapıları Öte yandan bütün olarak bakıldığında, BT denetimi aşağıdaki alanlarda yapılır. Bu 7 alanda yapılan kontrollerin başarı ile tamamlanması gerekmektedir. Böylece kurum bilgi sistemlerinin güvenli olduğundan bahsedebiliriz Bilgi Teknolojileri Süreçleri Uygulamalar ve modülleri Spesifik yazılımlar, donanımlar, altyapı vb. Belirlenmiş standartlara göre yapılan denetimler. Spesifik konfigürasyonlar. İş süreçleri ile uygulama uygunluğu. Sahtekârlık denetimi. 1.3.3.1 BDDK Bilgi Sistemi Genel Kontrolleri Şekil 1.3 COBIT Ana Kontrol Hedefleri 1.3.3.2 BDDK Bilgi Sistemi Uygulama Kontrolleri Uygulama kontrolleri asgari aşağıdaki unsurları içerir: Veri oluşturma ve yetkilendirme Bilginin akışı ve uygulamalara girilmesi Veri İşleme ve Onaylar Üretilen bilgi ve Raporlama 2. ITIL (Bilgi Teknolojileri Altyapı Kütüphanesi) ITIL (Information Technologies Infrastructure Library) operasyonel bilgi işlem hizmetlerinin verimli ve etkin bir şekilde yürütülmesi için geliştirilmiş kalite yönetim yöntembilimidir . ITIL, Bilgi İşlem hizmetlerini en başarılı yöneten örnek uygulamaları esas alarak oluşturulan, süreçleri entegre olarak anlatan bir dizi yazılı rehberdir. Eğitim programı, Sertifikalandırması, Danışmanlık hizmetleri, Yazılım destek programları, olan uluslararası bir standarda dönüşmüş durumdadır 2.1Hizmet Destek Değişim Yönetimi: Her türlü değişikliği etkin şekilde yönetmek. Problem Yönetimi: Hizmet kesintilerini en aza indirmek. Olay Yönetimi: Belirlenen hizmet düzeylerinin sürekliliğini sağlamak, hizmet kesintilerini etkin ve hızlı bir şekilde gidermek. Konfigürasyon Yönetimi: Bilgi İşlem teknik altyapısını kontrol etmek. Sadece onaylanmış yazılım ve donanımların kullanımını sağlamak. Sürüm Yönetimi: Değişim sürümlerini yönetmek. Sürüm dağıtımını otomatikleştirmek. Onaylı yazılımların kullanımını sağlamak. 2.2 Hizmet Sağlama Hizmet (Düzeyi)Yönetimi: İş hedefleri ve müşteri istekleri doğrultusunda hizmet ve hizmet düzeylerini belirlemek, takip ve kontrol etmek. Kapasite Yönetimi: Bilgi İşlem kaynaklarını verimli ve etkin kullanmak. Finansal Yönetim: Bilgi İşlem hizmet maliyetlerini hesaplamak, kontrol etmek ve en alt seviyede tutmak. Servis Sürekliliği Yönetimi: Bir felaket sonrasında hizmetlerin aksamamasını sağlamak. Uygulanabilirlik (Kullanırlılık) Yönetimi: Hizmet kullanırlılık düzeylerini en üst seviyede tutmak. 2.2.1 BT Hizmet Süreçleri ITIL (Bilgi Teknolojileri Altyapı Kütüphanesi), BT hizmet yönetimi süreçlerini iki bölümde ele almaktadır. 2.2.1.1 Hizmet Teslimi Hizmet Seviyesi Yönetimi Kapasite Yönetimi Finans Yönetimi Erişilebilirlik Yönetimi BT Hizmet Devamlılığı Yönetimi 2.2.1.2 Hizmet Desteği Konfigürasyon Yönetimi Değişim Yönetimi Tahliye Yönetimi Vaka yönetimi Sorun Yönetimi Hizmet Masası 2.2.2 ITIL Kitapları ITIL Service Strategy ITIL Service Design ITIL Service Transition ITIL Service Operation ITIL Continual Service Improvement 3.COBIT NEDİR? CobiT, Türkçe karşılığı Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri olan “Control OBjectives for Information and related Technology” kelimelerinden üretilmiş bir kısaltmadır. CobiT sadece bir denetim aracı değil, aynı zamanda bir yönetişim aracı olma amacını da taşır. COBIT 5: Geçmişi Kapsamın Evrimi Governance of Enterprise IT IT Governance Val IT 2.0 Management (2008) Control Risk IT (2009) Audit COBIT1 1996 COBIT2 1998 COBIT3 2000 COBIT4.0/4.1 COBIT 5 2005/7 2012 ISACA (www.isaca.org/cobit ) tarafından sunulan iş yapısı (framework) © 2012 ISACA® All rights reserved. 90 3.1 COBIT Versiyonları ve Tarihçesi COBIT dört ana yayımdan oluşmuştur: 1996, COBIT birinci baskı yayımlandı. 1998, İkinci baskıda yönetim yönergelerine eklendi. 2000, Üçüncü baskı yayımlandı. 2003, COBIT online sürümü kullanıma sunuldu. 2005 Aralık, Dördüncü baskı yayımlandı. 2007 Mayıs, Güncel versiyonu 4.1 yayımlandı. Şekil 3.1 COBIT İş Hedefleri 3.1.1 COBIT Versiyon 4 4.1 versiyonundaki temel değişiklikler; Olgunluk modeli için destek, Amaçların basitleştirilmiş tarifi, İş, BT Hedefleri ve BT Süreçleri arasındaki çift yönlü ilişkileri ve süreçleri basamaklandırmak şeklinde listelenebilir. TBD Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri (COBIT) Sürüm 1.0 Nisan 2008 Ayrıca her işlem için oluşturulan yeni alt kısımlar şunlardır: Girdilerin çapraz referansları ve diğer COBIT süreçlerinin çıktıları (parmak göstergesinin gelişimine yardımcı olan) Sorumlu bir atama ile her işlem için faaliyetler (CFO, CEO, BT Hizmetleri Müdürü ve Geliştirme Müdürünün ne yapması gerektiğini gösteren) Versiyon 4.1 aşağıdaki yayınlardan oluşmaktadır; Yönetici Özeti Yönetim ve Kontrol Çerçevesi Kontrol Nesneleri Yönetim Kılavuzu Uygulama Kılavuzu BT Güvence Kılavuzu 3.1.2 COBIT Versiyon 4.1 COBIT sürümü 4.1 simdi ISACA web sitesinde mevcuttur. Yapılan büyük değişiklikler şunlardır: Hedef açıklamaları basitleştirildi Süreçler ile "İşletme", "BT hedefleri" ve "BT süreçleri" arasındaki çift yönlü ilişki basamaklandırıldı. COBIT Versiyon 4. • • • • Yönetimsel Özet Çatı İçerik Ekler 3.2 COBIT 4’ün Ana Kontrol Hedefleri COBIT ana kontrol hedefleri dört etki alanını kapsar: Planlama ve Organizasyon Tedarik ve Uygulama Hizmet ve Destek İzleme ve Değerlendirme İçerik:________________________ Değerlendirme Numarası: _________________ Değerlendirme Karnesi Column1 PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 PO11 AI1 AI2 AI3 AI4 AI5 AI6 AI7 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 M1 M2 M3 M4 IT Process BT Stratejisi ve Planı Bilgi Mimarisinin Tanımlanması Teknoloji Stratejisinin Tanımlanması BT Süreçleri ve Organizasyon BT Yatırım Yönetimi İletişim Hedefleri İnsan Kaynakları Yönetimi Dış gereksinimler ile uyumluluğun sınanması Risk değerlendirmesi Proje Yönetimi Kalite Yönetimi Otomasyon Çözümlerinin Belirlenmesi Uygulama Yazılımlarının alınması ve sürdürülmesi Teknoloji Mimarisinin uygulanması ve sürdürülmesi Operasyon ve kullanım BT Kaynaklarının Alımı Değişikliklerin Yönetilmesi Çözümlerin ve Değişikliklerin Yönetilmesi Hizmet Seviyelerinin Tanımlanması Üçüncü parti hizmetlerin yönetilmesi Performans ve Kapasitenin Yönetilmesi Hizmet/İş sürekliliğinin sağlanması Sistem Güvenliğinin sağlanması Maliyetlerin tespiti ve hesaplanması Kullanıcıların eğitilmesi Hizmet Masası ve Olay Yönetimi Konfigürasyonun yönetilmesi Prolem Yönetimi Verinin Yönetimi Fiziksel Ortamın (Tesisin) yönetimi Operasyonun Yönetimi Süreçlerin izlenmesi İç kontrol yeterliliği değerlendirmesi Bağımsız güvence sağlanması BT Yönetişim Sağlanması Atanmış Sorululuklar Aktivitelerin Yürütülmesi İzlenen Metrikler Dokümanlar Süreçler Alanlar Planlama ve organizasyon Alım ve Uyarlama Teslimat ve Destek İzleme ve Değerlendirme 3.3 COBIT 4.1 Olgunluk Modelleri CobiT 4.1’in ortaya çıkması ile durmuştur. Ana hatları ile CobiT Olgunluk Modellerinin hesaplaması şu şekildedir: Olgunluk Seviyesi Yürütülen Aktiviteler Başlangıç Düzeyi 0 Aktivite ile ilgili önemin anlaşılmamış olması İzleme yapılmamalta Dokümanlar bulunmamakta Bir iyileşme alanı gözlemlendi 1 Aktivite ilgili fikir sahibi olduğu gözlemlenmiştir İzleme yapılmamaltadır Dokümanlar bulunmamaktadır Bir iyileşme alanı gözlemlenmiştir 2 Bireyler aktivite ile ilgili sonuçların önemini kavramaktadır İzleme yapılmamaltadır Dokümanlar bulunmamaktadır Bir iyileşme alanı gözlemlenmiştir 3 Personel faaliyet yöntemleri ve hedefleri konusunda eğitilmiştir İzleme yapılmamaltadır Belgeler mevcuttur Bir iyileşme alanı gözlemlenmiştir Gerekli görüldükçe (ad hoc) Tekrarlanan ancak tanımsız Tanımlı Standart 4 Personel faaliyet yöntemleri ve hedefleri konusunda eğitilmiştir İzleme Yapılmaktadır Belgeler mevcuttur Aktivite sürekli iyileştirme altındadır Otomatik araçlar kullanılarak sınırlı ve dağınık bir şekilde uygulanır Optimize 5 Personel faaliyet yöntemleri ve hedefleri konusunda eğitilmiştir İzleme Yapılmaktadır Belgeler mevcuttur ve güncellenmektedir Otomatik araçlar faaliyet kalitesini ve etkinliğini artırmak için, entegre bir şekilde uygulanır COBIT 5 ISACA COBIT 5 Yayınları COBIT 4.1’den 5’e Neler Değişti Aşağıdaki alanlarda temel değişiklikler yapılmıştır: 1. 2. 3. 4. 5. 6. 7. 8. 9. Yeni GEIT (Governance of Enterprise IT) Prensipleri Sağlayıcılara (Enabler) odaklılık Yeni Süreç Referans Modeli Yeni ve Değiştirilen Süreçler Yeni Uygulama ve Aktiviteler Hedefler ve Metrikler Süreç girdi ve çıktıları RACI Haritaları Süreç kabiliyet olgunluk modeli ve Değerlendirme yaklaşımı © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other 107publication or product. Yeni ve Değişen süreçler COBIT 5 ile COBIT 4.1 de var olan yönetim süreçleri ile Val IT ve Risk IT süreçlerinde var olan içerikler yeni süreç referans modelinde birleştirilmiştir. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 108 Yeni ve Değişen süreçler Yeni gelen ve değişikliğe uyrayan süreçler: APO03 Kurumsal Mimarinin Yönetimi. APO04 İnovasyon yönetimi. APO05 Portföy Yönetimi. APO06 Bütçe ve Maliyet Yönetimi. APO08 İlişki Yönetimi. APO13 Güvenlik yönetimi. BAI05 Organizasyonel değişiklik yönetimi. BAI08 Bilgi Yönetimi. BAI09 Varlık yönetimi. DSS05 Güvenlik hizmetleri yönetimi. DSS06 İş süreç control yönetimi. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other 109publication or product. Şirket BT Yönetimi ile Topluluk BT Yönetişimi Arasındaki Ayrım BT Yönetişim BT Yönetim Yönetişim, paydaşların gereksinimlerini, durum ve seçeneklerini, önceliklerini ve hedeflerini karar verme mekanizmaları ile değerlendirerek kurumun hedeflerine ulaştığını performans ölçümlemeleri ile garanti eder, kararlaştırılan hedef ve amaçlara ilerleme durumunu ve uyumluluğunu izler Yönetim, yönetişim unsurunun belirlediği ve anlaştığı hedef ve doğrultuya ulaşması için paralel olarak gerekli aktiviteleri planlar, tasarlar, icra eder ve sonuçlarını izler RACI Haritaları Source: COBIT® 4.1, page 39. © 2007 IT Governance Institute® All rights reserved. Source: COBIT® 5: Enabling Processes, page 31. © 2012 ISACA® All rights reserved. 111 COBIT 5 Yapısı (Framework) Basit tanımıyla, COBIT 5 kurumlara kaynak kullanımı, riskler ve sağlanacak faydalar arasında bir denge kurmaları sureti ile BT’den optimum iş değeri yaratmaları için yardımcı olur COBIT 5 tüm kurum için teknoloji ve bilginin bütünsel olarak yönetişim ve yönetiminin sağlanmasına yardımcı olur. Bunun için uçtan uca iş fonksiyonel alanları ve sorumluluklarını da değerlendirerek BT’nin iç ve dış paydaşlarını da kaosama alır COBIT 5 prensip ve imkanları büyük, orta çaplı veya küçük, ticari veya kar amacı gütmeyen tüm kurumlarda uygulanabilmektedir © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 112 Beş ana COBIT 5 Prensibi 1.Paydaş gereksinimlerinin karşılanması 2.Kurumun uçtan-uca kapsanması 3.Tek Entegre bir Yapının uygulanması 4.Bütünsel Yaklaşımın Etkin Olması 5.Yönetişimin Yönetimden ayrılması © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 113 COBIT 5 Prensipleri 1. Paydaş Gereksinimlerini n Karşılanması 5. Yönetişimin Yönetimden ayrılması 2. Kurumun uçtan-uca kapsamı COBIT 5 Prensipleri 3. Bütünsel ve tek bir yapının (framework) uygulanması 4. Bütünsel bir yaklaşıma inkan verilmesi 114 Source: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved. COBIT 5 Sağlayıcıları 2. Süreçler 3. Organizasyon Yapıları 4. Kültür, Etik ve Davranışlar 1. Prensipler, Politikalar ve Yapılar (framework) 5. Bilgi 6. Hizmetler, altyapı ve uygulamalar 7. İnsan, Beceri ve Yetenekler Kaynaklar Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved. 115 Yönetişim ve Yönetim Yönetişim, paydaşların gereksinimlerini, durum ve seçeneklerini, önceliklerini ve hedeflerini karar verme mekanizmaları ile değerlendirerek kurumun hedeflerine ulaştığını performans ölçümlemeleri ile garanti eder, kararlaştırılan hedef ve amaçlara ilerleme durumunu ve uyumluluğunu izler Yönetim, yönetişim unsurunun belirlediği ve anlaştığı hedef ve doğrultuya ulaşması için paralel olarak gerekli aktiviteleri planlar, tasarlar, icra eder ve sonuçlarını izler © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 116 Özet Olarak… COBIT 5 ile gelen 5 ana prensip kurumunuz için etkili bir yönetişim ve yönetim yapısını (framework) sağlarken 7 ana bütünsel kabiliyet ile bilgi ve teknoloji yatırımlarızı paydaşların faydaları doğrultusunda optimize etmenizi sağlar © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 117 COBIT 5: Süreçler (cont.) Source: COBIT® 5, figure 29. © 2012 ISACA® All rights reserved. 118 COBIT 5: Süreçler(cont.) Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved. 119 COBIT 5 ‘in uygulanması(cont.) Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved. 120 4.TEKNOLOJİ YÖNETİMİ Teknoloji Yönetimi, “Bir organizasyonun stratejik ve taktik amaçlarının şekillendirilmesinde ve bunlara ulaşılmasında ihtiyaç duyulan teknolojik kapasitenin planlanması, geliştirilmesi ve uygulanmasıdır.” 4.1 Teknoloji Yönetiminde Yaklaşımlar Teknoloji Yönetimi konusunda, farklı iki yaklaşım söz konusudur. Birinci yaklaşım, mikro yaklaşım olup, teknolojiyi firma bazında planlama, koordine etme ve yönlendirmeyi içerirken diğeri daha makro olup, ülke genelinde teknolojik tahmin, teknolojik planlama, bilim-teknoloji politikasının tespiti, uygulanması ve kontrolüyle ilgili faaliyetlerin tümünü inceler. Teknoloji Yönetimi’ nin kapsamı içindeki konular şunlardır: Teknolojik Tahmin Teknolojik Planlama Teknolojik Risk Analizleri Ar-Ge Yönetimi Teknolojik Yeniliklerin Yönetimi Teknolojik Rekabet Stratejileri Teknoloji Transferi Teknoloji Seçimi Teknolojinin Ticarileştirilmesi (Patent, Lisans Anlaşmaları, Copyrights, Ticari Markalar) Mühendislerin ve Bilim Adamlarının Yönetimi Teknoloji ve Organizasyonel Değişimler Teknoloji temini için farklı seçenekler söz konusudur: Firma içi Ar-Ge faaliyetleriyle ürün ve proses gelistirmek. Teknolojiyi transfer etme (Lisans alma, Yabancı sermaye ortaklığı, Joint Venture vb.) Mevcut teknolojiyi kullanmak 4.2 Teknoloji Yönetim Süreci Teknolojik yenilik geliştirme süreci uzun bir süreci içerir. Buluş veya yeni bir fikir aşamasından başlayan bu süreç Ar-Ge faaliyetlerinin gerçekleştirilmesi ve Ar-Ge faaliyetleri sonucu ortaya çıkan yeni ürün ve hizmetlerin pazara ve müşterilere sunulmasına dek yapılan bütün faaliyetleri içerir Teknolojik Yenilik sürecinin yönetimindeki stratejik karar noktaları şunlardır: Stratejik Teknolojik Planlama Teknolojik Tahmin Araştırma ve Geliştirme Teknolojinin Ticarileştirilmesi Teknolojinin Pazarlanması 5.RİSK ve YÖNETİMİ 5.1 Risk Kavramı Günlük hayatta risk kavramı bir hayli sık kullanılmasına rağmen, riskin tanımını yapmak bir hayli zordur. Risk farklı şekillerde tanımlanabilir. Bunlardan bazıları şunlardır: Risk, bir olayın ya da olaylar setinin ortaya çıkma olasılığıdır. Risk, gerek belirsizlik gerekse belirsizliğin sonuçları olarak tanımlanabilir. 5.2 Belirsizlik Kavramı Belirsizlik; meydana gelecek sonuçların belirlenememesi ve bilinememesi olarak tanımlanabilir. Belirsizlik sübjektif bir kavramdır, kişiye ve kurma göre değişir ve bu yüzden de kesin olarak ölçülemez. 5.3 Risk Belirleme Süreci Riski tanımak ve ölçmek mevcut durumu değiştirmediği gibi, yatırımın sonucunu da bilinir hale getirmez. Ayrıca bir yatırımın riski hesaplandıktan sonra yatırımın başarısız olabilme riski ortadan kalkmaz. Fakat kurumlar riski tanıyıp ve bildiklerinde yatırım konusunda daha bilinçli kararlar verebilecektir 5.3 Risk Belirleme Süreci 5.3.1 Riskin Tanımlanması 5.3.1.1Riskin Ölçülmesi 5.3.2 Riskin Değerlendirilmesi 5.3.2.1 Bilişim Teknolojilerinde Risk Değerlendirme 5.3.2.1.1 Risk Değerlendirmesi haritasının çıkarılması ve Risk 5.3.2.1.2 Risk Yönetiminde Kullanılan Araçlar ve Yöntemler 5.3.2.2 BT Risk Yönetiminde Roller 5.3.3 Riskin yargılanması 5.4 Risk Yönetimi Risk Yönetimi, proaktif ve hızlı kararlar ve faaliyetler ile sürekli olarak risklerin belirlendiği, hangi risklerin öncelikle çözümlenmesi gerektiğinin değerlendirildiği, risklerle başa çıkmak için stratejiler ve planların geliştirilerek uygulandığı bir sistematiktir. 6.BANKALARDA TEKNOLOJİ RİSKİ 6.1Bankalarda Teknoloji Kullanımı Teknolojideki hızlı gelişmelerle birlikte, dünya finans piyasaları ile entegrasyon sürecine giren Türk bankacılık sektörü, gelişmişülkelerin bankacılık sistemlerinde yaygın bir şekilde kullanılan leasing, factoring, forfaiting gibi mali hizmetler; swap, forward, future, option gibi risk yönetim ürünleri ve internet bankacılığı hizmetlerini sunma aşamasına gelmiştir. Bankacılık sektörüne uygulanan yeni teknolojiler temel olarak iki alanda kullanılmaktadır; 1. Banka İçi Otomasyon 2. Banka Otomasyonu Bankacılık sektörünü, teknolojik yenilikleri kullanmaya iten bir takım faktörler aşağıdaki gibi ifade edilebilir — Maliyet unsuru, — Bankalar arası rekabet, — Bilgi toplumunun talepleri, — Yeni hizmet ve ürün anlayışı, — Bilgisayar teknolojisindeki gelişmeler, — Yeni sistemin sağladığı verimlilik. 6.2 Bankalarda Teknoloji Yönetimi Ve Kontrolü Rekabetin çok üst düzeylerde olduğu günümüz dünyasında teknoloji olmadan herhangi bir şey yapmak neredeyse imkansız hale gelmiştir. Teknolojiyi en iyi kullanan bankalar rakiplerine göre avantajlı olmakta, rekabette daha öne çıkmaktadırlar. 6.2.1.Bankalarda Teknoloji Yönetimi 1. Kesintisiz hizmet 2. Güvenlik 3. Destek ve Yardım Masası 4. Yedekleme 6.2.2 Bankalarda Teknoloji Yönetimi Problem Yönetimi Değişim Yönetimi Bilgi Güvenliği Beklenmedik Durum Planları Kaynakların Yönetilmesi Uygulama Programlarının Geliştirilmesi Uygulama Programlar Ve İşletim Sistemleri Alımı Dış Kaynak Kullanımı 6.2.2 Bankalarda Teknoloji Kontrolü Bilgi sistemlerinin ve bilişim teknolojisinin içerdiği risklerin, bankaların faaliyetlerinin kesintisiz yürütülmesi ve muhtemel zararların önlenmesi amacıyla, etkin olarak kontrolü şarttır. Genel kontrol ve incelemeler, veri yedekleme ve ilgili diğer işlemleri, kullanılan temel yazılımlardaki ve diğer yazılımlardaki gelişmeleri, bilgi erişim politikalarını ve bilgi erişimine ilişkin fiziki ve mantıksal güvenlik kontrollerini kapsar. 7.COBIT VE DİĞER BT DENETİMİ KONTROL VE UYGULAMA YÖNTEMLERİ 7.1 COBIT ve Diğer Denetim Modelleri Denetim modelleri Sarban esOxley COSO ABD güvenlik ve müdahale komisyonu COBIT ISO 20000 Kalite Sistemi BS 15000 ASL BT Planlama ITIL Proje Yönetimi IT Security Uyg. Geliş. (SDLC) CMMI Hizmet Yönetimi Kalite sistemleri & Yönetim sistemleri BT operasyonları ISO 1779 9 PMI TSO IS Strategy Şekil 8 COBIT ile diğer denetim araçları arasındaki ilişki ISO 6 Sigma 7.2 Basel II Basel Sermaye Uyumu adı verilen Basel II, ikinci Basel Anlaşmadır ve bankanın sermayesinin kifayetini ölçen uluslararası standartları gözden geçirmek için Bankacılık Denetimi üzerine kurulan 13 ülkeden merkez bankacıların oluşturduğu Basel Komiteyi temsil etmektedir. Basel II Basel II, operasyonel risklerin tanımlanması, değerlendirilmesi ve ölçülmesi için geliştirilmiş bir kurallar bütünüdür. 7.2 Basel II 7.2.1 COBIT ve Basel II ilişkisi 7.2.2 COBIT ve COSO İlişkisi 7.2.3 COBIT ve ISO 17799