http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/a-global-look-at-it-audit-best-practices.aspx
Global düzeyde faaliyet gösteren multinational şirketlerden KOBİ'lere kadar geniş yelpazede yaklaşık 1300 şirketin BT Denetim fonksiyonlarının araştırıldığı araştırma demografik verileri aşağıdaki gibidir;
- BT Denetim Yöneticisi %31, denetçi %21
- Finansal hizmetler %29, Devlet/Eğitim/Kar amacı gütmeyen %16
- 1-5 milyar dolar aralığında gelire sahip firmalar %24
- Borsaya kote %38, özel %36, devlet %18, kar amacı gütmeyen %8
- Organizasyonların yönetim ofisleri lokasyonu Kuzey Amerika %48, Avrupa %26
- BT denetim yönetim ofisleri lokasyonu Kuzey Amerika %48, Avrupa %24
Araştırma kapsamında temelde 5 sonuca ulaşılıyor;
- Siber güvenlik ve kişisel verilerin korunması temel endişeler. Bu iki alan BT yönetim tarafındaki gündemdeki konular ve BT denetim faaliyetlerini de etkileyeceği düşünülüyor. BT Denetim fonksiyonları planlamalarını yaparlarken kurum içerisinde bu iki alandaki faaliyetleri göz önünde bulundurabilirler sonucu buradan çıkarılabilir.
- Şirketler BT denetim iş gücü ve kaynak konusunda zorlayıcı unsurlar ile karşı karşıya kalıyorlar. Bu çıkarımı dış kaynaklar özelinde de düşünebilirsiniz.
- Denetim komiteleri, BT Denetim fonksiyonları ile daha etkileşimli hale geliyorlar. Eskiye göre daha fazla organizasyon BT denetim fonksiyonunda yönetici pozisyonlarını tanımlıyor. Son üç yılda Denetim komitesi toplantılarında BT Denetim fonksiyonlarının temsil edilmesi tamı tamına iki kat artmış olarak görünüyor.
- BT denetim özelindeki risk değerlendirmeleri yeterli sıklıkta yapılmıyor. Teknoloji doğası gereği hızlı değişim ve dönüşüme maruz iken BT Denetim fonksiyonları tarafından yeterli sıklıkta BT risk değerlendirmesi yapılmıyor. Hatta araştırma sonuçlarına göre BT risk değerlendirmesi hiç gerçekleştirmemiş organizasyonlar mevcut. BT risk değerlendirmesini yapılmasının yanı sıra bu risklerin çeyrekler bazında gözden geçirilmesi ve güncellenmesi öneriliyor.
- Organizasyonların büyük çoğunluğu BT denetim raporlarından elde edebileceği faydayı etmiyor. Bir çoğu ise BT Denetim ekibi çalışmalarını raporlama yapısına yeteri kadar adapte edemiyor.
Raporun içerisinde cevap bulabileceğiniz aşağıdaki sorular ise görsel materyaller ile beslenmiş şekilde rapordaki yerini alıyor.
- Organizasyon içerisinde tasarlanmış bir BT denetim ekibi yöneticisi var mı? (Evet %45)
- BT denetim ekibi yöneticisi kime raporlama yapıyor? (Avrupada %70 Denetim Üst Yöneticisine ki bu bizdeki denetim komitesine denk gelebilir.)
- BT denetimi ekip yöneticisi denetim komitesi toplantılarına düzenli katılım sağlıyor mu? (Evet %55)
- Organizasyon içerisinde BT denetim fonksiyonu nasıl konuşlandırılmış durumda?
- İç denetim içerisinde ve ayrı bir fonksiyon değil. BT denetçisi ayrımı yok.
- İç denetim içerisinde ve ayrı bir fonksiyon olarak
- Organizasyon içerisinde ayrıca bir denetim fonksiyonu olarak
- BT denetim fonksiyonu kurum içerisinde hiç yok. (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için % 11; Avrupa'da %4)
- BT denetim yetkinliklerinin artırmak ve desteklemek için dış kaynak kullanılıyor mu? ( Avrupada %52)
- Dış destek alınan BT denetim kaynak zamanının toplam kaynak içerisindeki oranı nedir? (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için %75'den fazla %8, hiç kullanmayan %11)
- Organizasyonların dış kaynak kullanımındaki temel nedeni nedir?
- İçeride gereken yeteneklerin geliştirilmesi zor. (Avrupa %21)
- Çeşitli kaynaklardan istifade edilmek istenmesi yaklaşımı (Avrupa %11)
- Kurum dışı farklı bakış açısının önemsenmesi (Avrupa %17)
- Kaynakların yetersizliği (Avrupa %24)
- Kurum içi kaynakların kurum dışı deneyimlerden de faydalanmasının düşünülmesi (Avrupa %28)
- BT denetim raporları sayısının toplam raporlar içerisindeki oranı nedir? (Yüzde 20'den fazla %32, yüzde 5'den az %22)
- Organizasyonunuz BT denetim risk değerlendirmesi gerçekleştiriyor mu? ( Hayır Avrupa için %10)
- BT denetim risk değerlendirmesine aşağıdaki paydaşların katılım durumunun değerlendirilmesi
- Denetim komitesi
- BT icra yönetimi
- İş süreç yöneticileri
- BT organizasyon temsilcileri
- İç denetim/BT denetim
- Risk Yönetimi
- BT denetim risk değerlendirmesinin hangi sıklıkla güncellendiği? (Avrupa çeyrek %27, yarı yıldan az sıklık %73)
- BT denetin risk değerlendirmesinde hangi çerçeve kullanılmaktadır)
- COBIT
- COSO
- ISO
- SOGP
- Kurumunuzun kurumsal risk yönetim programı mevcut ise BT denetim risk çerçevesi ile ilişki var mıdır? (Avrupa evet %42)
- BT denetim fonksiyonunun alanına aşağıdakilerden hangisi girmektedir?
- BT süreçlerini denetlemek (güvenlik, kişisel verilerin korunması gibi süreçler)
- BT genel kontrollerini değerlendirmek
- Uygulama bazında denetimler gerçekleştirmek
- BT altyapısına yönelik denetimler gerçekleştirmek
- BT uyumunu test etmek
- Sosyal medya denetimleri
- SOX'a yönelik denetimler
- Tedarik denetimleri
- Önemli BT projelerine BT denetimi hangi aşamada dahil olmaktadır?
- Planlama (%30)
- Tasarım
- Test
- Uygulama (Implemantasyon)
- Uygulama sonrası
- Dahil olmazlar (%9)
- BT denetim fonksiyonu güvence, uyum ve danışmanlık faaliyetlerinde zamanlarını hangi oranlarda harcarlar? ( Avrupa'da ağırlıklı güvence ile harcarlarken, danışmanlık ve uyuma harcanan mesai biraz daha az.)
- BT denetim fonksiyonu COBIT çerçevesine göre bir değişim ve değerlendirme yaşadı mı?
- BT denetime yönelik teknik yetenekler doğrultusunda aşağıdaki başlıkların öneminin değerlendirilmesi (Yüksek önem seviyesi atfedenlerin oranlarına göre yüksekten düşüğe sıralanmıştır.)
- Kontrol analizi
- Risk Analizi
- Süreç değerlendirmesi
- BT ile aynı dili konuşabilme
- Veri analizi
- Muhasebe/denetim
- Proje Yönetimi
- Danışmanlık
- BT denetime yönelik iş ve insan ilişkilerine yönelik yetenekler doğrultusunda aşağıdaki başlıkların öneminin değerlendirilmesi (Yüksek önem seviyesi atfedenlerin oranlarına göre yüksekten düşüğe sıralanmıştır.)
- İlişki geliştirme
- Rapor yazımı
- Stratejik düşünebilme
- Ekip oluşturma ve yönetme
- Çatışma yönetimi
- Müzakere
- İş tarafları ile aynı dili konuşabilme
- Liderlik
- BT denetimi iç denetim biriminde görevli tam zamanlı çalışan profesyoneller tarafından mı gerçekleştiriliyor? (100 Milyon dolardan az yıllık kazancı olan organizasyonlar için evet % 64)
- BT denetim planına almak istenen ama kaynak yetersizliğinden denetim gerçekleştirilemeyen alanlar mevcut mudur? ( 100 Milyon dolardan az yıllık kazancı olan organizasyonlar için Evet %43)
- Organizasyonunuz CISA sertifikalı denetçiye ihtiyaç duyuyor mu? (Avrupa Evet %65)
- Organizasyonunuz içerisinde CISA sertifikalı ya da alma düşüncesinde denetçi oranı nedir? (Avrupa yüzde 75'den fazla %58)
- Organizasyonunuzda başka hangi sertifikalar yer almaktadır?
- CRISC (Avrupa %16)
- CISM (Avrupa %18)
- CIA (Avrupa %19)
- CGEIT (Avrupa %6)
- CISSP (Avrupa %15)
Yukarıda temel düzeyde kendi organizasyonunuz açısından BT denetim fonksiyonunuzu değerlendirmenize yönelik faydalı olabileceği düşünülen bilgiler paylaşılmıştır. Bu paylaşım Avrupadaki firmalara yönelik bilgilerin ve Türkiyedeki çoğu firmanın girebileceği düşünülen aralıklarla ilgili istatistiklerin paylaşılması şeklinde olmuştur. Detaylar ve 2012 yılından bu yana değişen trendlere yönelik bilgiler için raporun kendisine bakmanız ve ilerleyen dönemler için ISACA web sitesini takip etmeniz önerilir.
ISACA İstanbul Chapter faaliyetleri ile ilgili bilgi almak için ise ISACA İstanbul web sitesine bir uğramanızı ve Linkedin grubuna üye olmanızı tavsiye ederim.
ISACA İstanbul Chapter faaliyetleri ile ilgili bilgi almak için ise ISACA İstanbul web sitesine bir uğramanızı ve Linkedin grubuna üye olmanızı tavsiye ederim.
