MEHMET BALiOGLU

Bilişim Sistemleri Yönetişim Kontrollerinin Yetersiz Olması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurum üst yönetimi ile bilişim sistemlerini yöneten birim arasındaki ilişkinin, orta ve uzun vadeli stratejiler ve planlar ile gözetim ve denetim faaliyetleri çerçevesinde yürütülmesinde yetersizlik olduğu gözlemlenmiştir.
  • Kurumda bilişim sistemlerinin geliştirilmesi ve güvenliğe kavuşturulması amacıyla çok kapsamlı ve yetkin çalışmalar yürütüldüğü, ancak yönetişim alanında kurulan kontrollerin yetersiz olduğu görülmüştür.
  • Kurum bilişim sistemlerine ilişkin çalışmaların yazılı ve müstakil bir planlama süreci çerçevesinde yürütülmediği, bunun, bilişim sistemlerinin üst yönetim tarafından yakından izlenmesini ve yönetilmesini öngören kontrollerin işletilmesinde yetersizliğe sebep olduğu görülmüştür.
  • Kurum bilişim sistemlerinin yönetişimini sağlamak üst yönetimin sorumluluğunda olmasına rağmen, mevcut durumda Kurum üst yönetiminin bilişim sistemleri ile ilgili kararlara katılımının sınırlı kaldığı görülmüştür.
  • Bilişim ile ilgili kararlarda üst yönetimi, bilişim sistemleri yöneticilerini ve bilişim sistemlerinden doğrudan etkilenen önemli birimlerin yöneticilerini (paydaşları) bir araya getiren organ, kurul ve mekanizmalar ihdas edilmemiştir.
  • Bilişim sistemlerine ilişkin faaliyetlerin iç denetime tabi tutulmadığı tespit edilmiştir.

Yasal ve Düzenleyici Çerçeve

  • 5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu’nun 55’inci maddesi
  • Maliye Bakanlığı tarafından 5018 sayılı kanuna dayanılarak 2007 yılında yayınlanan Kamu İç Kontrol Standartları Tebliği’nde yer alan 12 numaralı “Bilgi sistemleri kontrolleri” standardı
  • e-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7’nci maddesi

Önerilen Ana Eylem Noktaları

  • Kurumun, üst yönetimin ve ilgili paydaş birimlerin katılımıyla yazılı ve müstakil bir bilişim sistemleri stratejisi oluşturması gerekmektedir.
  • Kurum üst yönetiminin, bilişim sistemlerine ilişkin planlama, koordinasyon ve izleme faaliyetlerine etkin olarak katılmasını sağlayacak kurumsal süreç ve yapıların oluşturulması gerekmektedir.
  • Üst yönetimin içinde yer aldığı bir Bilişim Sistemleri Yönlendirme Kurulu veya eşdeğeri yapılar oluşturulması önerilmektedir.
  • Bilişim ile ilgili kararlarda üst yönetimi, bilişim sistemleri yöneticilerini ve bilişim sistemlerinden doğrudan etkilenen önemli birimlerin yöneticilerini (paydaşları) bir araya getiren organ, kurul ve mekanizmalar ihdas edilmesi gerekmektedir.
  • Kurum üst yönetiminin, bilişim sistemleriyle ilgili temel kararların alınması sürecine katılmasını, alınan kararların yürütülmesi sürecinde koordinasyonu sağlamasını ve sonuçları izlemesini temin edecek kurumsal mekanizma ve süreçlerin oluşturulması gerekmektedir.
  • Bilişim sistemlerine ilişkin faaliyetlerin iç denetime tabi tutulması sağlanmalıdır.

Rapor Metni

Kurum üst yönetimiyle bilişim sistemlerini yöneten birim arasındaki ilişkinin, orta ve uzun vadeli stratejiler ve planlar ile gözetim ve denetim faaliyetleri çerçevesinde yürütülmesinde yetersizlik olduğu gözlemlenmiştir

5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu’nun, 55’inci maddesinde iç kontrol şu şekilde tanımlanmıştır:

“İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür…”

İç kontrol özetle, idarenin sağlıklı çalışmasını etkileme ihtimali olan risklerin tanımlanması ve bu riskleri ortadan kaldıracak eylem ve süreçlerin oluşturulmasıdır.

Kurumların faaliyetlerinin büyük ölçüde bilişim sistemleri desteğiyle yürütülmesi sebebiyle günümüzde iç kontrollerin önemli bir kısmının bilişim ortamında oluşturulması gerekmektedir. Nitekim Maliye Bakanlığı tarafından 5018 sayılı kanuna dayanılarak 2007 yılında yayınlanan Kamu İç Kontrol Standartları Tebliği’nde bu husus standarda bağlanmıştır. Tebliğde yer alan

12 numaralı “Bilgi sistemleri kontrolleri” standardında, idarelerin, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmalarını geliştirmeleri gerektiği vurgulanmış ve “İdareler bilişim yönetişimini sağlayacak mekanizmalar geliştirmelidir” denilmiştir.

Bilişim sistemleri kontrolleri arasında yer alan yönetişim kontrollerinin amacı, güvenli ve yeterli bir bilişim ortamının sağlanması için kurumsal strateji ve amaçlara uygun yönetim, karar alma, yönlendirme ve izleme mekanizmalarının oluşturulmasını sağlamaktır. Bu kontroller kuruma, alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence sağlar.

Etkin bir bilişim sistemleri yönetişim yapısının kurulması; kurumun stratejik hedeflerine ulaşmasını, paydaş ihtiyaçlarına uygun ürünler ortaya çıkarmasını, bilişim sistemleri ile ilgili riskleri yönetmesini, kaynakları daha etkin kullanmasını, bilgi güvenliği gereklerine ve yasal mevzuata uygun çalışmasını destekler.

Yürütülen denetim çerçevesinde iç kontrollerin etkinliği değerlendirilirken bilişim sistemleri kontrolleri incelenmiş, Kurumda bilişim sistemlerinin geliştirilmesi ve güvenliğe kavuşturulması amacıyla çok kapsamlı ve yetkin çalışmalar yürütüldüğü, ancak yönetişim alanında kurulan kontrollerin yetersiz olduğu görülmüştür.

  1. Kurumda Yazılı ve Müstakil Bir Bilişim Sistemleri Stratejisinin Oluşturulmaması

    Kurum bilişim sistemlerine ilişkin çalışmaların yazılı ve müstakil bir planlama süreci çerçevesinde yürütülmediği, bunun, bilişim sistemlerinin üst yönetim tarafından yakından izlenmesini ve yönetilmesini öngören kontrollerin işletilmesinde yetersizliğe sebep olduğu görülmüştür.

    e-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7’nci maddesinde, kamu kurum ve kuruluşlarının bilişim stratejileri hazırlaması gerektiği şu şekilde ifade edilmiştir:

    b) Kamu kurum ve kuruluşları, ulusal stratejiler ve planlar ile mevcut kurumsal stratejik planlarıyla uyumlu, kurumun e-Devlet hizmetleri sunumu amacıyla yapacakları yatırım, teknoloji tercihleri, kurumsal kapasite, tasarruf planları, fayda-maliyet, iş planı gibi unsurları kapsayacak bilişim stratejilerini hazırlar.”

    Kurumun bilişim sistemleri ile ilgili hedefler, yatırımlar ve eylemler müstakil bir strateji ile yönetilmediğinden, bunların kurumun ana stratejisi ve amaçları ile ne derecede uyumlu olduğunun Kurum üst yönetimi tarafından izlenmesinin oldukça güç olduğu gözlenmiştir.

    Kurumun, üst yönetimin ve ilgili paydaş birimlerin katılımıyla yazılı ve müstakil bir bilişim sistemleri stratejisi oluşturması gerekmektedir.

  2. Bilişim Sistemlerine İlişkin Planlama, Koordinasyon ve İzlemenin Sağlanmasına Yönelik Kurumsal Bir Mekanizmanın Bulunmaması

    Kurum üst yönetiminin, bilişim sistemlerine ilişkin planlama, koordinasyon ve izleme faaliyetlerine etkin olarak katılmasını sağlayacak kurumsal süreç ve yapıların oluşturulmadığı gözlenmiştir.

    Kurum bilişim sistemlerinin yönetişimini sağlamak üst yönetimin sorumluluğundadır. Bazı kurumlarda bu amaçla üst yönetimin içinde yer aldığı bir Bilişim Sistemleri Yönlendirme Kurulu veya eşdeğeri yapılar oluşturulmuştur.

    Ancak, mevcut durumda Kurum üst yönetiminin bilişim sistemleri ile ilgili kararlara katılımının; görevlendirmelerin yapılması, bütçelerin ve satın alma süreçlerinin onaylanması ve genel çalışma çerçevesini belirleyen iç düzenlemelerin yapılması gibi faaliyetlerle sınırlı kaldığı görülmüştür. Bilişim ile ilgili kararlarda üst yönetimi, bilişim sistemleri yöneticilerini ve bilişim sistemlerinden doğrudan etkilenen önemli birimlerin yöneticilerini (paydaşları) bir araya getiren organ, kurul ve mekanizmalar ihdas edilmemiştir.

    Kurum üst yönetiminin, bilişim sistemleriyle ilgili temel kararların alınması sürecine katılmasını, alınan kararların yürütülmesi sürecinde koordinasyonu sağlamasını ve sonuçları izlemesini temin edecek kurumsal mekanizma ve süreçlerin oluşturması gerekmektedir.

  3. Bilişim Sistemlerine İlişkin Faaliyetlerin İç Denetime Tabi Tutulmaması