Bilgi Teknolojilerinin Uygulamaları ile İlgili Riskler

Belgede İŞLETMELERDE RİSKE YÖNELİK DENETİM VE RAPORLANMASI (sayfa 118-124)

RİSK KAVRAMI VE RAPORLAMA GEREĞİ

2.3. İŞLETME RİSKİ VE TÜRLERİ

2.3.6. Bilgi Teknolojilerinin Uygulamaları ile İlgili Riskler

İşletmeler büyüdükçe ve işlemleri karmaşıklaştıkça, üretim planlama ve kontrol, satış tahminleri, stok depolama planlaması, pazarlama araştırması vb. konularında hep daha fazla bilgi ihtiyacı ortaya çıkar71. Görüldüğü gibi artık sadece muhasebe konularında değil her alanda bilgisayar teknolojisinden yararlanmak zorunlu hale gelmiştir. Muhasebe alanında da iyi bir kayıtlama ve sağlıklı bir raporlama yapılabilmesini sağlayacak bilgi sistemi kurulmalıdır. İyi bir yönetim bilgi sistemi finansal olmayan konuların işlenmesi ve bu noktalarda karmaşanın önlenmesi için de işletmelere alışılmışın dışında kolaylık ve katkılar sağlar.

Kötü niyetli kişiler (ya da teröristler) bilgi güvenlik duvarlarını kolayca aşabilirler (11 Eylül Amerika’da olduğu gibi)72. Bu nedenle güvenlik tedbirleri

71 Hall, 2004:9.

72 Bagranoff, Simkin ve Norman, 2005:11.

103

her an güncellenmeli ve geliştirilmelidir. Denetçilerde, hileyi önleyecek ve tespit edilenlerin etkilerinin yok edilmesini sağlayacak şekilde davranmalıdır73.

Hile için, birbirini tamamlayan üç koşul gerekir, buna hile üçgeni denir.

Şekil 2.14. Hile Üçgeni

Teşvik edici baskı (hile için motivasyon

ve teşvikler)

Bahane

(etik, değer, karakter bozulması)

Fırsat

(hile yapma durumu-zamanı)

KAYNAK: Bagranoff, Simkin ve Norman, 2005:448.

Şekilde de görüldüğü gibi; işletmeler veya kişiler tarafından hile yapılması için bu üç durumun oluşması gerekir. Bu durumlar zemini hazırlar ve ilgili kişinin hile yapmasını normalleştirir. Öncelikle bir bahane bulunur (maaşım az veya şirketim çok vergi ödüyor vb.), sonra korkuları yenmek için teşvik edici bir güç gerekir (komşunun da hile yapıyor olması veya birinin zorlaması gibi) ve en son olarak da, hile yapılmasına karar verilmiştir, uygun koşulun (zamanın ve fırsatın) oluşması gerekir. İşte bu yapıya hile üçgeni denir. Buradan şöyle bir sonuç da çıkarılabilir; aslında hile yapan herkes, kendini haklı görmekte ve genellikle suç işlediğini kabul etmemektedir.

Örneğin; ücretinin düşük olduğunu düşünen bir işçinin; rüşvet alması/hırsızlık yapması vb.

Sarbanes Oxley Yasası da bilgi teknolojileri sistemi denetimi için hükümler içermektedir74. Bu hükümler:

73 Bagranoff, Simkin ve Norman, 2005:448.

74 Bagranoff, Simkin ve Norman, 2005:449-450.

104

- Kurumsal yönetim, - İç kontrol,

- Finansal tablo ve muhasebe standartları ile ilgili hükümler,

- Bunlar ile bunlarının dışında gerekli görülen diğer uygulama ve hükümlerin (kanun, standart vb.nin) varlığının ve uyulup uyulmadığının denetlenmesini gerekli kılar. Gerekçesi; çoğu problemin (hilenin), yukarıda sayılanların yokluğu veya zayıf olmasından ve genellikle de bilgi teknolojileri kullanılarak yapılmasından kaynaklanmasıdır.

Elle muhasebeleştirme yapılan sistemde sonuçlar yazılı olduğu için, iç kontrol daha kolaydır. Bilgisayar sisteminde ise belge olmadığı ve manyetik ortamda kayıtlar tutulduğu için denetim veya iç kontrol daha zordur75. Muhasebe bilgi sisteminde kullanılan programların hatasız ve hileye müsaade etmeyecek şekilde gelişmiş olması gerekir. Hem işletmenin ve hem de denetim firmasının bilgi teknolojilerini kullanan personelinin yeterli deneyim, bilgi ve beceri sahibi olmasının yanında özellikle dürüst ve güvenilir olmaları da ayrı bir gerekliliktir76.

Bilgisayarlı sistemlerde, sistematik hatalar görülmektedir. Kullanılan programa göre yapılan bir işlem eğer doğru sonuç veriyorsa sonraki benzer işlemler hep doğru sonuç verir, ancak yapılan işlem yanlış sonuç veriyorsa aynı nitelikteki diğer işlemlerde hep yanlış sonuç verir. Ya da sistem birden fazla aynı işlemin girişine izin verebilir77. Bu hataları engellemenin yolu denetimdir.

Bilgi teknolojileri (BT) denetimi; organizasyonun bilgi sisteminin bilgisayar bazlı bütün yönlerine odaklanır. BT denetimi bilgisayar kaynaklarının kontrolü, faaliyetleri ve uygunluğunun değerlendirilmesini kapsar78. BT kapsamında, faaliyetleri, veri yönetimini, örgüt yapısını, sistem geliştirme çabalarını, bilgisayar merkezini, interneti, çalışanların bilgisayarlarını vb. bütün bilgi işlem konularını ve iç kontrolü denetlemek

75 Hall, 2004:767-768.

76 Woolf, 1979:304.

77 Özkul, 2002:21.

78 Hall, 2004:864.

105

gerekir79. Bu noktaların tamamında; maliyetlerin yükselme, gelirlerin azalma, varlıkların kaybı, hatalı muhasebeleştirme, işlerin kesilmesi, kanunlara uygunsuzluktan ceza almak, rekabet dezavantajları, hile, zimmete para geçirme ve suiistimal gibi risklerin ortaya çıkmasını engellemek amacıyla bilgi teknolojileri denetimi ve kontrolü yapılmalıdır80.

a) Hileler ve Bilgi Hırsızlığı

Girdi: En yaygın hiledir ve en az bilgiyi gerektirir. Örneğin birçok işletmede kasiyerler müşteri kart bilgilerini çalmakta veya para hırsızlığı yapmaktadır. Ya da banka çalışanları müşteri bilgilerini elde etmekte, müşteri bilgisi girilerek bankadan başka hesaplara para aktarmaları yapılmaktadır.

Çalışanlara paralar verilerek bu bilgiler alınabilir. Diğer bir benzer hile de bilgisayardaki bilgileri değiştirerek arabaları çalıp/boyayıp satmak vb81.

İşlemci: Hırsızların da içinde olduğu bilgisayar servisleri vardır.

İşletmeler; bilgi hırsızlığı yapamasınlar diye, işçilerinin birtakım bilgilerine ulaşımını engellemektedir. Bu durumda da çalışanlar internete girmekte ve diğer anlaşmalı kişilerde de internetten bağlantı kurulduğu için işletmenin bilgilerini dışardan alabilmektedir82.

Bilgisayar komutları: Yaygın olmayan programları iyi bilmek gerekmektedir. İşletmeler indirdikleri (yükledikleri) bazı programlar nedeniyle bilgilerinin çalınması durumu ile karşı karşıya kalabilirler83.

Bilgisayar dosyalarına zarar verilebilir. Bu zararlar bilgileri yeniden kodlamaktadır. Çalışanlar, bilgisayarları düzeltmeye çalışırken bilgiler çalınabilir. Wall Street’de bir büyük firmanın bilgileri, firma sahibinin akrabaları tarafından yasa dışı yollarla birkaç milyon dolara satılmıştır84.

Sistem çıktıları yazdırılırken de çalınabilir.

79 Belirtilen alanlarda risklerin kaynağı ve kontrol faaliyetleri ile ilgili ayrıntılı açıklamalar için bkz.:

Hall, 2004:870-893.

80 Bodnar ve Hopwood, 2004:103-104.

81 Romney ve Steinbart, 2003:284-285.

82 Romney ve Steinbart, 2003:285.

83 Romney ve Steinbart, 2003:285.

84 Romney ve Steinbart, 2003:286.

106

b) Bilgisayar hilesi ve kötüye kullanılan teknikler85: - Bilgisayar casuslarının (hacker) vereceği zararlar, - Verilerin; girmeden, girerken ve sonrasında kaybolması, - Bilgilerin çalınması ya da bilgisayarda verilerin yok olması, - E-posta yoluyla bilgisayarlara çeşitli zararlar verilmesi, - İnternette yanlış bilgi paylaşımı,

- Şifrelerin kırılması veya çalınması, virüs vb.

c) Bilgisayar hilelerinden korunma yolları86: i) Hileyi azaltmak için yapılacaklar;

- Doğru kiralanmış (veya satın alınmış) programlar kullanmak, - Motivasyonu eksik olan işçileri yönetmek,

- Çalışanları güvenlik ve hile konusunda eğitmek, - Yazılım lisanslarını yönetmek,

- Gerekli olan anlaşmaları imzalamak vb.

ii) Hile yapılmasını güçleştirmek;

- İç kontrol sisteminin güçlendirilmesi (geliştirilmesi), - Görevleri ve yetkileri ayırmak, görevde rotasyon, - Bilgi ve verilere ulaşımı sınırlandırmak,

- Bilgi ve verileri şifrelemek, telefon hattının korunması, - Virüs koruma, özel bilgi ayrımı ve kontrolü,

- Laptopları kontrol, monitör güvenliğinin sağlanması vb.

iii) Korunma yollarını geliştirmek;

- Sıkı denetim yapmak, hile önleme hattı kurmak,

85 Romney ve Steinbart, 2003:287-288.

86 Romney ve Steinbart, 2003:296.

107

- Bilgi güvenlikçisi istihdam etmek, bilgisayar danışmanı kullanmak, - Monitör güvenlik önlemleri almak,

- Yasal (belgeli) ve güvenilir muhasebeci çalıştırmak, - Hile önleyici düzenlemeleri artırmak vb.

iv) Hile zararını azaltmak;

- Sigorta yaptırmak, yedekleme yapmak (CD kaydı veya çıktı almak), - Hileye karşı muhtemel plan ve önlemler geliştirmek,

- Hileden kurtulmak için her zaman daha iyi ve koruyucu programlar kullanmak vb.

Bilgi teknolojileri denetimi, tek yönlü basit bir işlem değil aksine bütün klasik denetim teknikleri ve karşılaştırmalarının kullanıldığı, iyi bir bilgisayar bilgisi gerektiren ve sistemin tamamının analizini kapsayan bir süreçtir87.

Bilgi teknolojileri ile ilgili denetimde kullanılabilecek kontrol listesi soruları88:

- Bütün yöneticiler karar verme aşamasında bilgi sistemini kullanıyor mu?

- İşletmede bilgi teknolojileri çalışanı, uzmanı ve yöneticisi var mı?

- Bilgi sistemi verileri düzenli bir şekilde güncelleniyor mu?

- Bilgi sistemine giren bilgilerden (tabiî ki ulaşmaları gerekeni kadarından) bütün yöneticiler haberdar oluyor mu?

- İşletmenin bilgi sistemine girişte şifreleme var mı?

- Bilgilere erişim sınırlandırılmış mı, bilgi ve yükümlülük paylaşımı yapılmış mı?

- İşletmenin stratejistleri, rakip işletmelerin bilgi sistemlerine (ve değişikliklere) aşina mı?

87 Bodnar ve Hopwood, 2004:458-459.

88 David, 2005:146.

108

- Bilgi sisteminin kullanımı kolay mı zor mu?

- Bütün bilgi sisteminden anlayan ve bilgi sistemini kullanan bütün çalışanlar; birbiri ile yarış içinde işletmeye katkı sağlıyorlar mı?

- Bilgi sistemi kullanıcıları için workshop toplantıları (geliştirici ve yenilikleri aktaran bilgilendirme seminerleri) yapılıyor mu?

- İşletmenin bilgi sistemi, anlaşılır ve uygulanabilir bir şekilde geliştiriliyor mu?

- Yeterli güvenlik önlemleri (virüslere, hackerlere ve çalışanlara karşı) alınmış mı ve geliştiriliyor mu?

Belgede İŞLETMELERDE RİSKE YÖNELİK DENETİM VE RAPORLANMASI (sayfa 118-124)