Bilişim Teknolojisi Performans Denetimi Aşamaları Bilişim teknolojisinin performans denetimi;

“a) Kuruluşun bilişim teknolojisi hakkında ön bilgi edinilmesi,

b) Bilişim teknolojisi kontrol ortamının incelenmesi ve kuruluş riski değerlendirmesi,

c) Uygulama incelemeleri ve hesap alanı risk değerlendirmesi”,203

“d) Uygun konuların belirlenmesi,

e) Düşük performansın kanıtlarının belirlenmesi, f) Düşük performansın nedenlerinin belirlenmesi”,204

g) Genel performans denetimi süreci aşamalarına göre gerçekleştirilebilir. Uygulamada açıklık açısından maddelerin ayrıca ele alınması yerinde olacaktır:

a) Kuruluşun Bilişim Teknolojisi Hakkında Ön Bilgi Edinilmesi

“Denetlenen kurumun ana faaliyetleri, yıllık gelirleri, harcamaları, toplam varlıkları, bilişim teknolojisi varlıkları, yıllık bilişim teknolojisi bütçesi, bilişim teknolojisi personeli sayısı ile bunların nitelikleri gibi konuları ele alan genel inceleme,

Önceki denetimlerde belirlenen ana sorunlar,

Donanım ve yazılım, ağ donanım ve yazılımı, sistem yazılımı, Muhasebe/Uygulama yazılımı,

Bilgisayar denetim uzmanlarına duyulan ihtiyaç, İhtiyaç duyulan sistem inceleme işi ve

Ana temaslardan oluşmaktadır.” 205

Ayrıca bu genel inceleme ile bilişim teknolojisi sistemlerinin genel performans hedeflerini gerçekleştirmedeki önemi/katkısı ele alınır.

b) Bilişim Teknolojisi Kontrol Ortamının İncelenmesi

Bilişim teknolojisi kontrol ortamının incelenmesi; “Bilişim teknolojisi stratejisi, üst düzey yönetimin rolü, belgeleme politikaları, kayıt doküman muhafazası, iç denetimin rolü, personel politikaları, bilgisayar güvenlik politikaları, yasal ve düzenleyici konular, pazar kontrolü/dış alım/olanaklar yönetimini kapsayan genel politika, yönetim ve kontrol ile,

Görevlerin ayrımı, Fiziksel erişim kontrolleri, Mantıksal erişim kontrolleri,

204 _{INTOSAI, Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi, Bilişim} Teknolojisine Yönelik Performans Denetimi, s. 3

Değişim yönetimi kontrolleri, İşin sürekliliğinin planlanması,

Dış bilişim teknolojisi tedarikçilerinden yararlanma, Operasyonel kontroller ve

Son kullanıcı kontrollerinden oluşur.”206

c) Uygulama İncelemeleri ve Hesap Alanı Risk Değerlendirmesi

Uygulama kontrolünün gözden geçirilmesi ve hesap alanı risk değerlendirmesi;

“Bilgisayara dayalı mali uygulamanın tanımlanması, Denetlenebilirlik,

Bilgisayar destekli denetim tekniklerinin kullanımı, Uygulamanın belgelenmesi,

Uygulama güvenliği: Fiziksel ve mantıksal erişim, Girdi kontrolleri,

Verilerin iletim kontrolleri, İşletim kontrolleri,

Çıktı kontrolleri ve

Ana dosya ve kalıcı veri kontrollerinden oluşmaktadır.” 207

Yukarıda belirtilen kontrollerin sonucu açığa çıkan sorunlardan performans denetimi konuları belirlenir.

d, e, f) Uygun konuların seçimi, düşük performansın kanıtları ve nedenleri. Performans denetiminin genel araştırma aşamasında belirtilen yollarla denetlenenin amaçlarına, faaliyetlerine, performansına ve ilgili taraflarına yönelik olarak geniş bir araştırma sonucu, başarısızlığa uğramış ya da uğramakta olan alanların her biri için yetersiz performans kanıtları bulunabilir.

Belli bir konuyu seçmenin gerekçeleri arasında şunlar bulunabilir: “- Yetersiz performans,

- Aşırı maliyetler,

- Yüksek maliyete bağlı düşük seviyede öncelik,

206 _{İngiltere Sayıştayı, Bilişim Teknolojisi Ortamında Denetim, ss. 30-45} 207 _{İngiltere Sayıştayı, Bilişim Teknolojisi Ortamında Denetim, ss. 46-56}

- Yüksek seviyede öncelik,

- Yönetim etiğindeki veya kültüründeki zayıflıkları gösteren kanıtlar,

- Kontrol yetersizliklerini ya da projelerde sistematik başarısızlıkları ortaya koyan kanıtlar,

- Pek çok organizasyonla bağlantılı olma.” 208

Aksamaları olan bilgi sistemlerinin birtakım göstergeleri vardır: - “Kullanıcı memnuniyetsizliği,

- Güvenilir olmayan sistemler,

- Diğer bilgi sistemleriyle yetersiz bütünleşme, - Aşırı maliyetler,

- Yeni bilgi sistemlerinin uygulanmasında gecikmeler, - Yarıda bırakılmış projeler,

- Yüksek maliyet ya da uzun süren bakım, - Tedarikçilerle anlaşmazlıklar.” 209

Yukarıda sayılan maddeler kısaca aşağıdaki şekilde özetlenebilir:

- Kullanıcı memnuniyetsizliği, kullanıcı geribildirim kayıtları varsa bunlarla, yoksa kullanıcılara/kullanıcılardan bir guruba yazılı olarak sorulacak sorulara verilen cevaplarla belirlenebilir. Kullanıcı memnuniyetsizliği, sistemi yeterince tanımama, bu konuda eğitim almamış olma, sistemin tasarımına, kabulüne yeterince katılmama, proje yönetim standartlarında veya bu standartların uygulamalarında meydana gelen aksaklıklar, yetersiz işletim desteği gibi nedenlerden kaynaklanabilir.

- Güvenilir olmayan sistemler, düzenli aksaklıklar gösteren sistemlerdir. Bu da sistemin tasarımında, geliştirilmesinde, işletim desteğinde, kullanıcılar tarafından bildirilen problem kayıtlarının dikkate alınmasında yaşanan aksaklıklardan, ya da problem kayıtlarının bulunmamasından kaynaklanabilir.

- Yetersiz bütünleşme, birden fazla sistemden bilgi derleme gerektiğinde, bir bilginin birden fazla girişi gerektiğinde, yine aynı bilginin bir defadan daha fazla

208 _{INTOSAI, Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi, Bilişim} Teknolojisine Yönelik Performans Denetimi, s. 12.

209 _{INTOSAI, Elektronik Bilgi İşlem Komitesi Bilişim Teknolojisi Denetim Eğitimi, Bilişim} Teknolojisine Yönelik Performans Denetimi, s. 15.

saklaması yapıldığında, bilgi sistemlerinin stratejik planlamasındaki zayıflıklardan, ya da üst yönetimin yetersiz gözetiminden kaynaklanır.

- Maliyet aşımları, iş ihtiyacı olmadığı halde bilgi sistemleri kurulması ve geliştirilmesi, yetersiz tedarik prosedürleri, proje yönetimi, iş ihtiyaçlarının kalitesine yönelik kontroller, sistem tasarımı ya da işletim eksikliğinden kaynaklanan işletim maliyetlerinin fazlalığı nedenlerinden kaynaklanabilir.

- Gecikme, projede yer alan işlerin belirlenen teslimat tarihlerinde tesliminin yapılmamasıdır. Bu durumda öncelikle proje kabul dokümanlarında işin belirlenen sürelerde teslimine ilişkin bir teslimat programının olup olmadığına bakılır. Teslimat programı yoksa önce bu yetersizliğin giderilmesi gerekir. Proje teslimat programı olduğu halde bu programa uyulmuyorsa, proje yönetiminin zayıflığı ve proje kurulu tarafından yapılan gözetimin yetersizliği sözkonusudur. Bu tür zayıflıkların kaynağı, proje yönetim standartlarının yetersizliği ya da sistemdeki standartlara uyulmaması olabilir.

- Yarıda bırakılmış projelerde, proje dokümanlarından ve projelerin bir kronolojisi varsa bu kronolojilerden yarıda bırakılma nedeni öğrenilebilir. Bunun nedeni, yatırım değerlendirmesinden, ihtiyaçların analizinden ve proje yönetimindeki yetersizliklerden kaynaklanabilir. Tedarikçiler tarafından geliştirilen sistemler yarıda bırakılmışsa, sorun tedarik prosedürlerindeki yetersizliklerde aranmalıdır.

- İşletim maliyetlerindeki eksiklikler, sistemin tasarımının, ihtiyaç analizlerinin yetersiz olması, geliştirme ve tedarik sürecinde kullanıcıların yetersiz katılımı, bakım onarım maliyetlerinin yüksek olması gibi nedenlerden kaynaklanabilir.

- Tedarikçilerle anlaşmazlıklar da performansı düşürebilir.

Denetçi, yukarıda yer alan göstergelerin nedenleri hakkında gerekli araştırmayı yapmalı, bulgulardan hareketle çözüm önerileri geliştirmeye çalışmalıdır.

g) Genel Performans Denetimi Süreci Aşamaları

Denetim konusunun/konularının seçiminden sonra performans denetimi genel performans denetimi süreçleri içerisinde gerçekleştirilecektir.

Bunların sonucunda, bir performans denetimi, bilişim teknolojisi açısından kurumun performansına etki eden yetersizliklerle bilişim teknolojisi yatırımlarının

kurumun ekonomiklik, verimlilik ve etkenliğine katkısının ne olduğunu tespit etmeli, yetersizliklerin giderilmesi ve iyi uygulamalar geliştirilmesi için öneriler getirmeli, kurumun bilişim teknolojileri stratejik planlamasını, proje yönetim uygulamalarını, sistem geliştirme çalışmalarını, sektörün daha iyi kurumlarıyla kıyaslamalı, şirket içinden ve dışından interaktif katılımı (yönetişimi) hangi düzeyde gerçekleştirerek bundan yararlanabildiğini göstermelidir. Bilişim teknolojilerinin bilgi otoyolunda otomatik olarak sağladığı denetimin yanında gerçekleşen hataların etkilerinin büyük olduğu da unutulmamalıdır.

V) KATILIM VE ETİK KAVRAMLARI AÇISINDAN PERFORMANS