Denetim Kapsamının Belirlenmesinde Risk Odaklı Yaklaşım Nasıl Sağlanır?
Denetçiler riski değerlendirirken hangi kriterleri dikkate alabilir ve risk odaklı bakış açısı korunarak denetim kapsamı nasıl belirlenebilir? Haydi bunlara bir göz atalım…
İç ve dış bağımsız denetim çalışmaları yürütülürken, hangi süreçlerin ve hangi kurum varlıklarının denetim kapsamına dahil edileceği hassasiyet gösterilmesi gereken bir konu olmuştur. Kısa sürede yüksek katma değer yaratma, kısıtlı kaynakları etkin kullanma ve tehditleri mümkün olduğunca kontrol altında tutma isteği; denetim çalışmalarında risk odaklı denetim yaklaşımının benimsenmesini zorunluluk haline getirmiştir.
Denetçi, mesleki bilgi ve tecrübesine dayalı olarak değerlendirme gerçekleştirmekte ve buna istinaden riskli bulduğu alanları denetim kapsamına dahil etmektedir. Peki, bu değerlendirmede hangi risk kriterleri (risk faktörü) dikkate alınabilir ve risk odaklı bakış açısı korunarak denetim kapsamı nasıl belirlenebilir?
Çok sayıda kriterin değerlendirmeye alınması, elbette ki riskli alanların doğru tespit edilmesine ve en makul denetim kapsamının oluşturulmasına fayda sağlayacaktır. Ancak; kurumun tüm varlıkları ve/veya süreçleri için tek tek değerlendirme yapılması gerektiğinden, kriter sayısının artırılması harcanacak eforun da artırılması demektir. Bu nedenle, denetim kapsamının oluşturulmasında kullanılacak kriterlerin belirlenmesi belki de en önemli adımlardan biridir.
Denetim planını ilk kez oluşturacak çalışma arkadaşlarına fikir vermek amacı ile; “etki” ve “olasılık” kavramlarına girmeden yalnızca üç ayrı risk kriterine değinerek, belirlenen kriterler için puanlama sisteminin nasıl kurulabileceği konusuna odaklanılacaktır. Bu sayede, her bir kriter için “risk puanı” rahatlıkla elde edilebilecektir. Hesaplamalarda kullanılan “risk ağırlığı” ve “ağırlıklı risk puanı” kavramları ise buradan incelenebilir ve risk-olasılık matrisinin nasıl kullanılacağı kolaylıkla anlaşılabilir:) Özellikle bilgi sistemleri denetimini planlarken, süreç kritikliğine ek olarak varlık kritikliğinin de değerlendirilmesi gerekliliğini önemle vurgulamak isterim!
O zaman artık üçlü puanlama sistemi kurularak risk kriterleri için risk puanının nasıl değerlendirilebileceğine odaklanalım. Oluşturulan üçlü puanlama sisteminde 1 puan en az riskli, 3 puan ise en yüksek riskli durumu ifade etmektedir [Genellikle beşli puan sisteminde ilerlenilmektedir.].
> Mevzuata Uyum: Kasıtlı olarak ya da yanlışlıkla gerçekleştirilen bir işlem sonucunda kurumun idari yaptırıma maruz kalması ve kurum faaliyetlerinin etkilenmesidir. Peki, süreçler veya varlıklar açısından bu kriter nasıl değerlendirilebilir, puanlama sistemi nasıl kurulabilir?
1 Puan: İlgili süreç veya varlık kapsamında kasıtlı olarak ya da yanlışlıkla gerçekleştirilen işlem cezai yaptırıma sebebiyet vermemektedir.
2 Puan: İlgili süreç veya varlık kapsamında kasıtlı olarak ya da yanlışlıkla gerçekleştirilen işlem sonucunda kurum cezai ya da kanuni bir yaptırımla karşılaşabilecektir. Yaptırımın seviyesi kurum faaliyetlerini olumsuz yönde etkilemeyecektir.
3 Puan: İlgili süreç ve/veya varlık kapsamında kasıtlı olarak ya da yanlışlıkla gerçekleştirilen işlem sonucunda kurum cezai ya da kanuni bir yaptırımla karşılaşabilecektir. Yaptırımın seviyesi kurum faaliyetlerini önemli ölçüde ve olumsuz yönde etkileme düzeyindedir.
> Suistimal: Kurum içi ya da kurum dışı kötü niyetli kişiler tarafından parasal anlamda usulsüzlük veya suistimal yapılmasıdır. Peki, süreçler veya varlıklar açısından bu kriter nasıl değerlendirilebilir, puanlama sistemi nasıl kurulabilir?
1 Puan: Bu süreç veya varlık özelinde parasal bir işlem gerçekleştirilmemektedir. Bu nedenle kötü niyetli kişiler tarafından parasal anlamda suistimal yapılması mümkün değildir.
2 Puan: Bu süreç veya varlık özelinde zaman zaman parasal işlem gerçekleştirilmektedir. Kontrol ortamının etkinliği nedeni ile kötü niyetli kişiler tarafından parasal anlamda suistimal yapılması zor ihtimaldir.
3 Puan: Bu süreç veya varlık özelinde sıklıkla parasal bir işlem gerçekleştirilmektedir. Bütçe, kaynak yetersizliği, teknolojik kısıtlar gibi nedenler ile kontrol ortamı etkin şekilde yönetilememektedir ve kötü niyetli kişiler tarafından parasal anlamda suistimal yapılması ihtimali mevcuttur.
> Önceki Denetimden Elde Edilen Sonuçlar: Önceki yıllarda gerçekleştirilen denetim çalışmaları sonucunda tespit edilen eksikliklere yönelik gerekli aksiyonların alınması düzeyidir. Peki, süreçler veya varlıklar açısından bu kriter nasıl değerlendirilebilir, puanlama sistemi nasıl kurulabilir?
1 Puan: Önceki denetim çalışmaları esnasında önemli veya kayda değer seviyede tespit bulunmamaktadır. Denetim konusu süreç ve varlık özelinde yapılan değerlendirme sonucu olumludur.
2 Puan: Önceki denetim çalışmaları esnasında önemli veya kayda değer seviyede tespit bulunmaktadır. Ancak, tespitlere yönelik iyileştirici aksiyonlar alınmakta; risklerin etkin şekilde yönetilmesi adına önleyici/düzeltici/tespit edici kontroller geliştirilmektedir.
3 Puan: Önceki denetim çalışmaları esnasında önemli veya kayda değer seviyede tespit bulunmaktadır. Tespitlere yönelik iyileştirici aksiyonlar henüz tamamlanmamış; risklerin etkin bir şekilde yönetilmesi adına herhangi bir çalışma gerçekleştirilmemiştir.
Genel olarak; “Denetim kapsamının belirlenmesinde risk odaklı bakış açısı neden gereklidir?” ve “Risk değerlendirme sürecinde kullanılabilecek kriterler neler olabilir?” sorularına açıklık getirilen bu yazıda; risk kriterleri için puanlama sisteminin nasıl oluşturulabileceğine odaklanılmıştır.
Peki; başka neler mi kriter olarak değerlendirilebilir? İtibar kaybı, işlem hacmi, kontrol ortamının etkinliği, bağımlı varlık veya süreçler üzerindeki etki, kişisel/hassas/gizli veri içerme durumu, yedekleme sıklığı, karmaşıklık, son denetimden itibaren geçen süre gibi daha pek çok kriter kullanılabilir ve riskli alanların önceliklendirilmesi sağlanarak denetim kapsamının sağlıklı bir şekilde oluşturulmasını sağlayabilirsiniz.
Özellikle, Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayınlanan “Bilgi ve İletişim Güvenliği Denetim Rehberi” ile denetim kapsamının belirlenmesinde risk odaklı bakış açısını kullanmak artık birçok sektör için önem kazanıyor. Doğru kriterler üzerinden hareket etmek ve “risk puanını” doğru belirlemek ise bu işin başında geliyor.
Herkese iyi hafta sonları ve keyifli çalışmalar.
