Bir Anket Analizi: ISACA-Protiviti’den “Bilgi Teknolojileri Denetiminin Dünü ve Bugünü”
Corona virüsü ile ilgili haberler hızla yayılırken elimde, ISACA ve Protiviti’nin ortaklaşa hazırladığı üstte kapağı yer alan 80 sayfalık bir rapor vardı: “2019 Global IT Audit Benchmarking Study”. Madem gezip tozma özgürlüğümüz kısıtlanıyor, bu raporun özetini hazırlayarak yayımlamak iyi bir fikir gibi geldi. İşte bu yazı, anlık verilen doğru bir kararın ardından ortaya çıktı.
Raporun tam adı “Today’s Toughest Challenges in IT Audit: Tech Partnerships, Talent, Transformation: Assessing the International Leaders in an Annual ISACA-Protiviti Survey”. Rapor, küresel çapta, üst yöneticiler dahil çeşitli seviyede 2252 denetim uzmanının online olarak katıldığı anket sonuçlarına dayanıyor. Adından da anlaşılacağı üzere bilgi teknolojileri (BT) denetçilerine yol göstermeyi hedefleyen raporun içindekiler bölümüne göz attığımda; kısa bir giriş metninin ardından, anket metodolojisinin açıklandığını, sonrasında dijital dönüşüme katılım durumu, teknoloji riskleri ve üst yönetimin öncelikleri, BT denetim fonksiyonunda aranılan niteliklerin ele alındığını görüyorum. Raporun sonunda ise anket katılımcılarının demografik yapısı hakkında bilgi veriliyor. Anket sonuçları, şirket gelir büyüklüğü ve bulunulan coğrafya bazında ayrıştırılarak sunulmakta. 80 sayfalık bu uzun raporu basitleştirerek aktarabilmek adına, sadece şirket gelir büyüklüklerine göre tasnifi göz önüne aldım. Raporun tamamını ilgiyle okudum. Son dönemde incelediğim birçok anket çalışmasıyla benzer tespitleri barındırıyor.
Bu raporun tek cümlelik özeti bana göre şu olurdu: Risk odaklı bakış açıları ile BT denetçileri, organizasyonlarının dijital dönüşümünde etkin rol almalıdır.
Raporun genelinde dijital dönüşümün hızı ve kapsayıcılığı karşısında BT denetim fonksiyonunun diğer birimlerle yakın ilişkide bulunmasının önemine vurgu yapılıyor. Rapora göre özellikle BT birimiyle kurulacak sıcak ilişkiler; denetimlerde daha anlamlı öneriler geliştirilmesine, dolayısıyla denetim raporlamalarında gecikmelerin azalmasına, bulgu kapanma oranlarının artmasına, süreçlerdeki kontrol açıklıklarının erken keşfedilmesine, bu sayede BT süreç ve projelerinin daha maliyet etkin yönetilmesine katkı sağlıyor. Ancak iyi ilişki kurma gayretinin, BT denetim fonksiyonunun üçüncü hat savunma görevini olumsuz etkilememesi gerektiği de raporda özellikle vurgulanıyor. Bu sınırları layıkıyla belirleyip koruyabilmenin hiç de kolay olmadığını söylemeliyim. Örneğin ankette BT birimiyle ilişkilerin durumunu ortaya koyabilmek amacıyla yöneltilmiş sorulardan bir tanesi, BT denetim fonksiyonunun teknoloji projelerinde ne oranda katılım sağladığıyla ilgili. Anket yanıtları, BT projelerindeki katılımın sınırlı bir düzeyde kaldığını gösteriyor: Katılımcıların %44’ü önemli seviyede, %38’i orta seviyedeki teknoloji projelerinde yer aldıklarını, %28’i ise ancak projeler hayata geçirildikten sonra kendilerinin sürece dahil edildiğini ifade ediyor. Denetçilerin daha çok, BT yönetişim (%70), risk yönetimi (%59), bilgi güvenliği ve veri mahremiyeti (%40) komitelerinde boy göstermelerinin beklendiği bilgisi de anket sonuçlarında yer alıyor.
Son yıllardaki teknoloji projeleri, genel olarak dijital dönüşüme uyum sağlamayı hedef alıyor. Rapora göre bu projelerdeki risk değerlendirme ve kontrol ihtiyaçları, dijital dönüşümün hızına yetişme gayretindekilerin gündemlerinde hak ettikleri yeri bulamıyor. Anket katılımcısı üst yöneticiler, teknoloji projelerinde başarı oranının %65 olduğu kanısında. Çünkü teknoloji projelerinin hedefleri iyi belirlenemiyor, proje boyunca hedefler, çıktılar, proje tanımları, proje ekipleri sıklıkla değişiyor. Birilerinin teknoloji uzmanlarına, proje yöneticilerine risk yönetimi konularında destek olması gerekli. Raporda, BT denetim uzmanlarının sahip olduğu risk odaklı bakış açısının çok değerli olduğu ifade ediliyor. Ancak raporda denetim uzmanlarına da önemli bir hatırlatmaya yer verilmiş: “…artık Agile ve DevOps yaklaşımlarının uygulandığı teknoloji projelerinin denetim/izlemesini gerçekleştirecek denetçilerin de kendi metotlarını güncellemeleri gerekiyor.”
Raporda, 2019 yılında hangi konuların BT denetim fonksiyonlarınca dikkatle izlendiğine dair bilgilere yer veriliyor. Uzun dönemdir, “siber güvenlik ve veri mahremiyeti” BT denetçilerinin en çok üzerine titrediği konuların başında. Bu raporda da durum aynı. Dikkat çeken bir konu ise, “veri yönetimi ve yönetişimi”nin, 2017 yılına ait ankette 10’ncu sıradayken, müthiş bir sıçrayışla, yeni anket çalışmasında 2’nciliğe yükselmiş olması. Onun hemen ardından “yeni ortaya çıkan teknolojiler” geliyor. Artık bu üç konuyu birbirlerini tetikleyen, destekleyen, ayrılmaz bir ekip olarak görüyoruz. Yeni teknolojiler güçlü bir veri yönetimine/yönetişimine ihtiyaç duyarken, dijitalleşen süreçler hassas verilere ve sistemlere yönelik siber saldırı riskini de artırıyor. ISACA’nın 2018 yılında gerçekleştirmiş olduğu “Cybersecurity Culture Survey”de de katılımcıların %90’ı güçlü bir siber güvenlik kültürünün şirketlerinin karlılığını ve “canlılığını” artıracağı görüşündeydi. Bu canlılık tabirini sevdim; şirket ömrünün uzunluğundan ziyade, siber saldırılara karşı dirençli bir organizasyonun, hedeflerine ulaşma konusunda daha rahat bir kafayla hareket edeceği, hareket serbestisini artıracağı anlamını çıkarıyorum.
Koşu pisti yerine önündeki engellere odaklanan “110 m engelli koşucusu” gibi, siber direnci düşük olan şirketlerin attığı adımların da gücü ve ritmi bozulacaktır. Ne demek istediğimi bu benzetmeden devam ederek açıklayayım. Kısa mesafe engelli koşucuları, her gün yüzlerce kez farklı engel geçiş antrenmanı yapar. Kasları, bedenleri buna adapte olur ve koşarken engellerden ritmik olarak, düşünmeden geçerler. Engelleri düşünmeye başlarlarsa, maksimum dördüncü engelde yüz üstü kapaklanacaklardır. Tek düşünmeleri gereken bitiş çizgisidir. Adapte olmuş kasları, engel geçiş görevlerini hissettirmeden yerine getirir.
Siber risklerin de süreçlerin bir parçası olarak değerlendirilip, uygun mekanizmalar aracılığıyla yönetilmesi gerekiyor. Şu an ele aldığımız raporun siber tehditlere yönelik bölümüne göz attığımda; yıllık karlılık oranlarının yüksekliği ile şirket üst yönetiminin siber güvenlik konularına ilgisinin paralellik gösterdiğini görebiliyorum. Yine rapora göre, siber güvenlik konularının denetim planlarında yer alma oranı şirket karlılığı ile paralellik içerisinde. Ayrıca geliri yüksek firmaların teknoloji risklerini daha sık bir periyotta değerlendirmeye tabi tuttuğu da anlaşılıyor. Rapor, bu firmaların %40’ı dijital dönüşüm hızının, BT risklerinin yönetilmesi ihtiyacını artırdığı yönünde.
İş süreçlerinde bulut hizmetleri, sanallaştırma, yapay zeka, robotikler gibi teknolojilerin kullanılma oranlarının hızla artması, şirketlerin risk profillerini ve kontrol ortamını büyük ölçüde değiştiriyor. Çünkü başta bulut hizmetleri olmak üzere, bu teknolojiler paydaşlarla olan etkileşimi da artırıyor. Bunun bir yansıması olarak raporda, üçüncü taraf risklerinin öneminin giderek arttığına dikkat çekiliyor. Shared Assessments Program ve Protiviti tarafından gerçekleştirilen “2019 Vendor Risk Management Benchmark Study” çalışmasında bu konuyla ilgili güzel bir tespit var; artan regülasyonlara, siber saldırıların kazandığı ivmeye ve riskli iş ortamlarına doğru dönüşümün hızına rağmen üçüncü taraf risklerinin yönetimi hala arzu edilen seviyede değil.
Raporda yer alan önemli tespitlerden bir diğeri ise kullanılan kontrol çerçevelerine yönelik. “2019 Global IT Audit Benchmarking Study” katılımcılarının verdiği yanıtlara bakılırsa teknoloji risklerinin değerlendirilmesinde kullanılan kontrol çerçevelerinin başında %68’lik bir oranla ISACA COBIT geliyor. Bu pek şaşırtıcı değil. Ayrıca BT denetim fonksiyonları tarafından, kendi süreçleri için ISACA ITAF rehber olarak alınırken, süreç analizlerinde ağırlıklı olarak ISACA COBIT kullanılıyor. Siber güvenlik denetimlerinde kullanılan çerçeveler ise; NIST Cybersecurity Framework %54, COBIT %51 ve ISO 27000 %43 oranıyla öne çıkıyor.
Raporun ele aldığı önemli bir diğer konu da denetim fonksiyonunun niteliğiyle ilgili. Siber güvenlik denetimi yapacak BT denetçilerinin ilave teknik becerilere ihtiyacı var. Raporda siber güvenlik denetimlerinin hangi kaynaklarla yapıldığına yönelik sorulara verilen cevaplara baktığımızda; %47 oranında denetim fonksiyonun iç kaynağıyla, %38’i ise yine iç kaynaklarla ama BT/bilgi güvenliği birimlerinden destek alınarak yapıldığı görülüyor. BT denetim faaliyetlerinde dış kaynak kullanımının en önemli gerekçeleri arasında kaynak eksikliği (%39) ve denetim becerileri eksikliği (%26) geliyor. Dijital dönüşüm, BT denetçilerinden de beklentileri artırıyor. Rapordaki veriler, dijital dönüşüm nedeniyle denetçilerde aranılan beceriler listesinde bir değişim yaşandığını ve istenilen niteliklere sahip BT denetçilerinin bulunmasının zorlaştığını gösteriyor.
Nedir bu aranılan beceriler? Örneğin anket katılımcıları, siber güvenlik, veri analitiği ve teknoloji temelli denetim becerileri gibi teknik becerilere olan ihtiyacın yüksek olduğu kanısında. Aslında BT denetim fonksiyonlarınca arzu edilen teknik uzmanlık, derin bir uygulama becerisinden ziyade, yeni teknoloji ve araçların iş süreçlerinde ne amaçla, nasıl kullanıldığının biliniyor olmasıyla sınırlı diyebilirim. Bu tanım, raporda “denetçilerin iş kafası”na sahip olmaları olarak tanımlanmış. Rapora göre teknik bilgi kadar önemli bir diğer beceri ise “eleştirel düşünce” yapısı. Bugün sahip olduğumuz beceriler ne olursa olsun, değişimin sürekli olduğu bir dünyada, aranılan gerekliliklerin yakın zamanda farklılaşacağı gerçeği karşısında rapordaki bu tespite katılmamak imkansız.
Raporun son bölümünde ise anket katılımcılarının demografik bilgilerine yer veriliyor. Katılımcıların büyük çoğunluğunun denetim müdürü ve üstü seviyede olması ile finans sektöründen katılımcıların ağırlıkta olması da gözüme çarpıyor. Rapor hakkında benim aktaracaklarım burada sona eriyor.
Diğer yazılar için:
