Bilgi teknolojileri değişiyor, risk artıyor

Bilgi teknolojileri değişiyor, risk artıyor

Teknoloji geliştikçe BT iç denetiminde gündem de değişiyor. Çünkü değişim, hızlı uyum yeteneği ihtiyacını ortaya çıkarıyor. KPMG’nin yaptığı araştırmaya göre 2018’de robot teknolojileri ve Nesnelerin İnterneti risk gündemine girecek, BT iç denetçilerinin risk odakları değişecek

1000
Bilgi teknolojileri değişiyor, risk artıyor

Teknoloji riskleri zaman içinde hızlı değişim gösteriyor ve giderek yaygınlaşıyor. Bu durumun sonucu olarak teknoloji riskleri BT profesyonelleri ve BT denetçileri açısından önem kazanıyor. Teknoloji risklerinin değerlendirilmesi ve hafifletilmesi kapsamında BT iç denetçileri, hızla gerçekleşen değişimlere ayak uydurabilecek esnekliğe sahip planlar hazırlıyor. Çalışmalar esnek planlara uygun olarak etkin ve etkili şekilde gerçekleştiriliyor. Sürekli değişen ve hacim olarak artan teknolojilerin risklerine yönelik çalışmalarda esneklik, etkinlik ve etkililik unsurlarının yanı sıra kaynak kısıtlılığı zorlu bir engel olarak denetçilerin karşısına çıkıyor.

BT iç denetçilerinin söz konusu zorlukları karşılama şekilleri KPMG tarafından gerçekleştirilen araştırmada (IT Internal Audit: Multiplying Risks Amid Scarce Resources) detaylı olarak inceleniyor. Çalışma 250 organizasyonu kapsıyor. Ekim 2016 ile Şubat 2017 tarihleri arasında gerçekleştirilen çalışmada ana hatlarıyla BT iç denetçilerinin odaklandığı temel operasyonel riskler, kalifiye personel ihtiyacı, bütçe değişimleri, risk değerlendirmede yetenek gereksinimleri, veri analitiği kullanımı, güvencede entegre yaklaşım konuları öne çıkıyor.

İç denetimin odak noktasındaki değişim

Günümüzde BT iç denetçileri yetkisiz erişimler veya kritik iş uygulamaları üzerindeki değişiklikler gibi temel operasyonel risklere odaklanıyor. Fakat anket sonuçlarında robot teknolojisi ve Nesnelerin İnterneti ve benzeri konulara 2018 yılında yükselen riskler bağlamında değinileceği belirtiliyor. Dolayısıyla BT iç denetçilerinin veri, uygulamalar ve altyapı unsurları üzerindeki siber güvenlik risklerini kapsayan bütünsel bir güvence sağlayacak yaklaşımlar oluşturması gerekiyor.

Değişim beraberinde hızlı uyum yeteneği gerektiriyor. Bu nedenle BT iç denetçileri de hızla değişen riskleri değerlendirmek ve veri analitiği teknolojisi, otomatikleştirilmiş iş akışı araçları gibi araçların ve teknolojilerin kullanımını artırmak için uygun vasıflı ve nitelikli kaynakları elde etme göreviyle karşılaşacak.
 

bt-riskleri

İhtiyaçlar ve bütçeler

Anket katılımcılarının yüzde 43’ü BT iç denetim bütçelerinin istikrarlı olacağını belirtti. Bununla birlikte yüzde 8’i 2017 ve 2018 yılları kapsamında bütçelerin düşüş gösterebileceğini düşünüyor. Yüzde 38’lik dilimi ise bütçelerin artabileceği inancında. Bütçelerin korunamaması halinde BT iç denetiminin yalnızca temel operasyonlarda değil, tüm farklı risk türleri üzerinde yeterli güvence sağlamak görevini yerine getirememesi gibi bir tehlike ortaya çıkıyor.
 

Yetkinliklerdeki öne çıkan eksiklikler

En önemli konulardan biri de BT iç denetçilerinin teknolojik riskler kapsamında güvence sağlamak için yeterli ve gerekli personel yetkinliklerine sahip olup olmadıkları konusundaki değerlendirmeler. Anket katılımcıları bu noktada denetledikleri birçok risk alanında yetersizliklerle karşı karşıya olduklarını belirtiyor. En büyük kaynak açıklıklarının siber güvenlik, gizlilik ve veri analitiği konularında ortaya çıktığı ifade ediliyor.

  • Kaynak ihtiyacı anlamında veri analitiğinin öne çıktığı BT iç denetçileri tarafından özellikle vurgulanıyor. Veri analitiğinin çeşitli amaçlarla BT iç denetiminde kullanılabilme oranının hayli düşük olduğu, katılımcıların yalnızca dörtte birinin sürekli denetim, izleme ve güvence teknikleri için veri analitiği kullandığı ifade ediliyor. Kalan bölüm ise geçici olarak veri analitiğini kullandığını belirtiyor.
  • Bir diğer önemli sonuç, güvence için entegre yaklaşım noktasında ortaya çıkıyor. Güvence genellikle kuruluşun bağımsız uzmanlarının yaptığı güvence çalışmalarından ziyade doğrudan gerçekleştirilen iç ve dış denetimler kapsamında sağlanıyor. Dolayısıyla güvencenin birçok organizasyonda entegre yaklaşım çerçevesinde ele alınmadığı görülüyor.
  • Özetle, çalışma raporu hızla büyüyen BT risklerinden yola çıkarak iç denetçilerin bu riskleri karşılama noktasında ihtiyaç duyacağı kaynaklara ve araçlara odaklanıyor. Bahsi geçen gereksinimlerin eğitim, yatırım, dış kaynak kullanımı, eş kaynak kullanımı ve benzeri yöntemleri içeren organizasyonun stratejisi ile uyumlu bir BT iç denetim stratejisi ile sağlanabileceği belirtiliyor ve stratejinin temel unsurları tanımlanıyor. 
  • Söz konusu strateji bağlamında BT iç denetçilerinin yükselen riskleri ele almaları bir zorunluluk. İş süreçlerinin yeni teknolojilere adapte olması ve bilgisayar korsanlarının sürekli organizasyon güvenlik önlemlerini zorlayıcı yöntemler bulması bu zorunluluğunun temelini oluşturuyor. BT iç denetçileri temel operasyonel risklere odaklanmaya devam ettiği ve güvenli alanlarından çıkmadıkları takdirde, bütçe, personel becerileri ve benzeri engellerden kaynaklanan problemler kaçınılmaz olarak devam edecek. BT iç denetçileri çalışmalarını daha etkili kılmak ve bilgiden yararlanmak için veri analitiği ve otomasyondan faydalanmalıdır.
  • BT iç denetçileri beceri eksikliklerine, sürekli izleme ve güvence ihtiyacına yönelik yatırımları desteklemek için üst yönetim ve yönetim kuruluna cazip ve tutarlı bir ticari vaka sunabilmeli. Önceliklendirilmiş kaynak gereksinimlerinin yönetime sunulması esnasında yanlış anlaşılmamak adına yüksek iletişim yetenekleri gerekiyor. 
  • Risklere yönelik güvencenin sağlanmasında tüm kaynakların kullanımında BT iç denetimi önemli rol oynuyor. Güvence kapsamında yer alan kaynaklar kuruluşun her seviyesinde yer alıyor. Söz konusu kaynaklar doğrultusunda BT iç denetim programı optimize edilmeli, kontrollerin standartlara uygunluğunu sağlamak için ilgili standartlar belirlenmeli ve kontrol edilmeli. Bu doğrultuda riske duyarlı bir organizasyon yaratılması, yönetim kurulu ve üst yönetimden itibaren tüm organizasyonun, BT iç denetçisi yardımıyla tasarlanmış etkin ve etkili bir çerçeve dâhilinde çalışması, aynı zamanda, risk yönetiminde rol ve sorumluluklarını bilmesi önem taşıyor.

© 2023 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., şirket üyelerinin sorumluluğu sundukları garantiyle sınırlı özel bir İngiliz şirketi olan KPMG International Limited ile ilişkili bağımsız şirketlerden oluşan KPMG küresel organizasyonuna üye bir Türk şirketidir. Tüm hakları saklıdır. 

Küresel KPMG ağının yapısı hakkında detaylı bilgi için kpmg.com/governance adresini ziyaret edebilirsiniz.

Bize ulaşın