Compliance Testing VS Substantive Testing
Bilgi sistemi denetimlerinde kullanılan uygunluk ve maddi doğruluk testleri hakkında açıklamalar…
Risk odaklı denetim yaklaşımı çerçevesinde denetçilerin uygunluk testi ve maddi doğruluk testi kavramlarını, bu test yaklaşımları arasındaki ilişkiyi anlamaları önemli. Bu kavramlar hakkında yaptığım taramalarda Türkçe kaynaklarda doyurucu açıklamalara rastlayamadım. Belki de doğru kaynaklara erişimedim. Ben de durumdam vazife çıkararak; incelediğim İngilizce kaynaklardan edindiğim bilgileri, denetim tecrübem ile harmanlayarak bu yazıda derleyip sunmaya karar verdim.
Uygunluk Testi (Compliance Test):
Uygunluk testleri, denetim kapsamındaki süreçlerdeki kontrollerin uygun tasarlandığını, tasarlandığı gibi çalıştığını ve çalışanların bu kontrollere uygun hareket ettiğini doğrulamayı hedefler.
Örnek olarak bir şirkette, mevzuat uyum gerekleri çerçevesinde bilgi güvenliği ve veri mahremiyetine ilişkin kontrollerin varlığı ve etkinliğini incelediğimizi varsayalım. Bu kapsamda mevzuat gerekleri güvenlik politika ve prosedürlerine yansıtılmış mıdır? Bilgi güvenliği kontrolleri tasarlanmış ve uygulanmakta mıdır? Personele bilgi güvenliği farkındalık eğitimleri verilmekte midir? Erişim yetkileri bilgi güvenliği gerekleri…