u raporda, Hazine Müsteûarlıøı biliûim sistemleri tarafından üretilen bilgilerin güvenilir olup olmadıøı sorusuna cevap aranmaktadır.
Hazine Müsteûarlıøı, 1983 yılından baûlayarak bilgi teknolojilerine dayalı olarak faaliyet göstermek üzere çeûitli projeler uygulamıû ve yatırımlar yapmıûtır.
Bu çerçevede devletin borç stokuna iliûkin tüm bilgiler bilgisayar sistemlerine aktarılarak bu sistemler üzerinden yönetilmeye baûlanmıûtır. Bugün gelinen noktada Hazine Müsteûarlıøı’nın biliûim faaliyeti, kurumun temel fonksiyonlarının icra edilebilmesi için vazgeçilmez hale gelmiûtir.
Hazine Müsteûarlıøı Devlet Borçları Saymanlıøı tarafından takip edilen Dıû Borçlara iliûkin hesaplar, 1995 yılından itibaren, tam, doøru ve uygun olmadıkları gerekçesiyle reddedilmiûtir. Reddedilen hesaplarla ilgili olarak yapılan çalıûmalar, 1997 yılından itibaren düzenli olarak hazırlanan “Hazine Hesapları ùzleme Raporları” ile Meclise bildirilmiûtir. Bu raporlarda Hazine Müsteûarlıøının iç kontrol sisteminden ve borçların takip edildiøi bilgisayar sisteminden kaynaklanan sorunlar üzerinde hassasiyetle durulmuûtur.
Hazine Müsteûarlıøı, uzun süredir biliûim sistemlerini yeniden yapılandırmaya yönelik çalıûmalar yapmaktadır. Bu çalıûmalar sırasında halen uygulanan sistemin bir çok eksiøi tespit edilmiû ve yeni geliûtirilmekte olan sistemde bunlara iliûkin önlemler alınmıûtır.
Müsteûarlıkta yeni bir sisteme geçme çalıûmalarının devam ettiøi gözönünde bulundurularak, biliûim sistemlerinin denetimi, iç kontrollerle ilgili deøerlendirmelere yönelik bir çerçevede gerçekleûtirilmiûtir. Mevcut sistemde yer
Hazine Biliûim Sistemleri Denetim Raporu, Sayıûtay Genel Kurulu’nun;
08.10.1998 tarih ve 4909 sayılı kararı ile kabul edilen Hazine Hesapları 1998 Yılı ùzleme Raporu, 11.10.1999 tarih ve 4934 sayılı kararı ile kabul edilen Hazine Hesapları 1999 Yılı ùzleme Raporu, 02.10.2000 tarih ve 4967 sayılı kararı ile kabul edilen Hazine Hesapları 2000 Yılı ùzleme Raporu, T.B.M.M. Plan ve Bütçe Komisyonunun;
31.12.1996 tarih, 1/492, 3/516 esas ve 68 nolu,2.12.1997 tarih, 1/633, 3/1046 esas ve 17 nolu, 21.6.1999 tarih, 1/3-3/122 esas ve 4 nolu, 5.12.2000 tarih ve 1/740-3/642 esas ve 8 nolu kararları üzerine,
Hazine Müsteûarlıøı tarafından yapılan çalıûmaları takip amacıyla hazırlanmıû,
Sayıûtay Genel Kurulunun 06.10.2003 tarih ve 5071/1sayılı kararı ile kabul edilerek Türkiye Büyük Millet Meclisine gönderilmesi uygun bulunmuûtur.
B
alan bir çok güvenlik açıøının yeni sistemle giderilmesi hedeflendiøinden, bunlara iliûkin detaylı testlere girilmemiûtir.
Hazine biliûim sistemleri denetiminde, sistemin iûlem ve uygulamalarının güvenliøini ve güvenilirliøini saølayan iç kontroller incelenmiûtir.
Hazine biliûim sistemlerinin denetiminde dört aûamalı risk tabanlı bir denetim yaklaûımı uygulanmıûtır Bu baølamda;
1. Biliûim sisteminin karûı karûıya kaldıøı risk ve tehditler belirlenmiû, meydana gelebilecek hata türleri ve düzensizlikler göz önünde bulundurulmuûtur.
2. Bu hata ve düzensizlikleri önlemek veya tespit etmek için gereken kontrol süreçleri belirlenmiûtir.
3. Bu gerekli süreçlerin sistemde tanımlanıp tanımlanmadıøı ve uygun bir ûekilde çalıûıp çalıûmadıøı incelenmiûtir.
4. Kontrol süreçleriyle ilgili zaaflar tespit edilmiû ve kontrol sisteminin riskleri minimize etmek için yeterli olup olmadıøı deøerlendirilmiûtir.
Denetim çalıûmalarında, Hazinede kurulması gereken kontroller, uluslararası alanda genel kabul görmüû standartlar ve iyi uygulama örnekleri ıûıøında belirlenmiûtir. Belirlenen ana denetim konuları için hazırlanan kriter setleri, denetimin çerçevesini oluûturmakta ve Hazinede kurulması gereken iç kontroller için asgari yapıyı belirlemektedir.
Kriter setleri Hazinede yapılan toplantı ve mülakatlarla ele alınmıû, yapılan gözlem ve testlerle elde edilen bulgular Hazine yönetimi ile birlikte deøerlendirilmiûtir.
Tüm bu çalıûmalar gerçekleûtirilirken denetim faaliyetinin uluslararası standartlara uygunluøunu saølamak ve bir kısım teknik testleri gerçekleûtirmek amacıyla, uluslararası denetim firmalarından PriceWaterhouse Coopers’tan danıûmanlık hizmeti alınmıûtır.
BULGULAR
Hazine Müsteûarlıøının iç kontrol yapısı, Hazine biliûim sistemleri tarafından üretilen cetvel ve raporların güvenilirliøini etkileyen önemli zaaflar taûımaktadır. Ancak bu husus deøerlendirilirken, Müsteûarlıøın bu zaafların önemli bir kısmının farkında olduøu ve sorunların çözümü için büyük bir gayret gösterdiøi gözönünde tutulmalıdır.
Denetim sırasında, Hazine biliûim sistemleri, kapsamlı bir kriter setine uygunluk bakımından incelenmiûtir. Mevcut yapının kullanılan kriter setini önemli
ölçüde karûıladıøı, ancak aûaøıda tespit edilen konularda zafiyetler içerdiøi belirlenmiûtir. Raporda sadece olumsuz bulgulara yer verilmiûtir.
RùSK GRAFùKLERù
úekil 1’de, bu raporda ortaya konulan toplam 48 bulgunun % 35’inin yüksek risk oluûturduøu görülmektedir.
úekil 1 Risklerin daøılımı
35%
44%
21%
Yüksek Risk Orta Risk Düúük Risk
Aûaøıda yer alan 2. ûekilde de, bulgularla ilgili risklerin konulara göre daøılımı görülmektedir. Örneøin, deøiûim yönetimiyle ilgili olarak tespit edilen 8 bulgunun 5’i yüksek risk, 3’ü orta düzeyde risk oluûturmaktadır.
úekil 2 Risklerin konulara göre daøılımı
0 1 2 3 4 5 6 7 8 9 10
Güvenlik Yönetimi Mantıksal Eriúim Kontrolleri Fiziksel Eriúim Kontrolleri Yazılım Geliútirme De÷iúim Yönetimi Girdi Kontrolleri Personel ve E÷itim Politikaları Belgeleme Politikaları øç Denetim
Yüksek Risk Orta Risk Düúük Risk
GÜVENLùK YÖNETùMùNE ùLùúKùN BULGULAR
Güvenlik yönetimi, kurumla ilgili riskler göz önünde bulundurularak, hizmetlerin sürekliliøini saølayacak bir kontrol yapısının kurulmasını ve sürdürülmesini hedefler.
Bu konuda ûu bulgular elde edilmiûtir:
Hazine Müsteûarlıøının karûı karûıya bulunduøu risklerin belirlenmesine ve bunlara karûı bir güvenlik planı hazırlanmasına iliûkin herhangi bir çalıûma yapılmamaktadır.
Kurumda bilgi güvenliøi ile ilgili standartlar belirlenmemiûtir.
Kurumun bir “Acil Durum Eylem Planı” ve “Kriz Yönetimi Planı”
bulunmamaktadır.
Kurumun bir “ùû Sürekliliøi Planı” bulunmamaktadır.
MANTIKSAL ERùúùM KONTROLLERùNE ùLùúKùN BULGULAR
Bir bilgisayar sisteminde yer alan programların kullanımı, bu programlar vasıtasıyla ulaûılabilecek bilgilerin yetkisiz kiûiler tarafından görülmesini veya deøiûtirilmesini engellemek amacıyla kısıtlanmalıdır. Mantıksal eriûim kontrolleri, bu amaçla, kullanıcıların ve sistem yöneticilerinin programları kullanmalarını kontrol altına almak için uygulanan mekanizmalardır.
Bu konuda ûu bulgular elde edilmiûtir:
Hazinede kullanılan, üretilen ve muhafaza edilen kaynaklar önemlerine ve gizliliklerine baølı olarak sınıflandırılmamıûtır.
Hazine biliûim sistemlerinin ûifreleme ve güvenlikle ilgili standartları belirlenmemiûtir ve uygulamadaki ayarlar yeterli güvence saølamamaktadır.
Görev yeri deøiûen veya iûten ayrılan personelin sistemlere eriûim yetkilerinin derhal kaldırılması saølanamamaktadır.
Kullanıcıların sisteme eriûimleri yetki ve sorumluluklarına baølı olarak sınırlandırılmamaktadır.
Kullanıcı bilgisayarlarının açık bırakılarak belirli bir süre kullanılmadıøı durumlarda baûkaları tarafından kullanılmasını önleyecek kontroller kullanılmamaktadır.
Kullanıcıların sisteme, aynı anda, aynı kullanıcı adı ve ûifresiyle deøiûik bilgisayarlardan baølanması mümkündür.
ùûletim sisteminde, aø altyapısında ve yazılımlarda deøiûiklikler yapıldıøında, sistemin güvenliøinin önceden belirlenmiû standartlarda tekrar saølanması için, mantıksal eriûim yolları analizi güncellenmemektedir.
Kullanımına son verilen veya baûka bir yere gönderilen bilgisayar malzemeleri üzerinde yer alan hassas verilerin ve yazılımın silinmesini öngören yazılı bir süreç bulunmamaktadır.
Kuruma dıûarıdan yetkisiz eriûimi kontrol etmek için kurulan kontrol mekanizmaları tarafından belirlenen ve engellenen saldırılar yönetime raporlanmamaktadır.
Sisteme uzaktan çevirmeli baølantı kullanılmak suretiyle saølanabilecek eriûimlerle ilgili yeterli güvenlik önlemleri bulunmamaktadır.
FùZùKSEL ERùúùM KONTROLLERùNE ùLùúKùN BULGULAR Fiziksel eriûim kontrolleri, kuruma ait bilgi sistemlerinin ve kullanıcıların bulunduøu binalara ve odalara fiziki olarak ulaûılmasını kontrol altında tutmaya yönelik olarak uygulanan kontrollerdir. Ayrıca bu kontroller ile biliûim sisteminin yangın, su baskını, nem, elektrik kesintisi gibi çevreden gelecek risklere karûı korunması da amaçlanır.
Bu konuda ûu bulgular elde edilmiûtir:
Hazine biliûim sistemi donanımlarının yer aldıøı binalara giriûlerin kontrol edilmesi için kurulan sistemler etkin bir ûekilde çalıûmamaktadır.
Bilgi ùûlem Merkezi, Hazine Müsteûarlıøı ve Dıû Ticaret Müsteûarlıøı personeli tarafından birlikte kullanıldıøından sistem odasına eriûimin sadece Hazine tarafından kontrol edilmesi mümkün bulunmamaktadır.
YAZILIM GELùúTùRMEYE ùLùúKùN BULGULAR
Yazılım geliûtirme üzerindeki kontroller, kurumların günlük operasyonlarını yürütmek için kullandıkları yazılımların oluûturulması esnasında kullanılan kontrol mekanizmalarıdır.
Bu konuda ûu bulgular elde edilmiûtir:
Yazılımların geliûtirmesine ve uygulamaya konmasına iliûkin faaliyetlerin sistematik bir ûekilde yürütülmesi güvence altına alınmamıûtır.
Biliûim sistemiyle ilgili projelerin fizibilite çalıûmalarının yeterli kalitede yapılmasını güvence altına alacak süreçler kullanılmamaktadır.
Projelerin kurumun amaçları ile uyumlu olmasını saølayacak yeterli kontroller bulunmamaktadır.
Projelerin kalite kontrolü için kullanılan süreçler yetersizdir.
Yazılımların nasıl test edileceøini belirleyen standartlar bulunmamaktadır.
Kurumda geliûtirilen yazılımlarla ilgili teknik belgelerin hazırlanması ve güncellenmesi güvenceye baølanmamıûtır.
Kurumda geliûtirilen yazılımlarla ilgili kullanıcı dokümanları zamanında hazırlanmamakta ve güncellenmemektedir.
Geliûtirilen yazılımların hangi ûartları yerine getirmesi durumunda uygulamaya sokulacaøı belirlenmemiûtir.
Yeni yazılımlar uygulamaya alındıktan sonra, bunlar üzerinde herhangi bir denetim veya inceleme yapılmamaktadır.
Kurumda etkin bir kütük yönetim metodolojisi kullanılmamaktadır.
DE÷ùúùM YÖNETùMùNE ùLùúKùN BULGULAR
Deøiûim yönetimi, kurum tarafından hazırlanan programlar üzerinde, kullanıcıların ihtiyaçları veya sistemin gereklilikleri sonucu yapılması gereken deøiûikliklerin kontrollü bir ûekilde gerçekleûtirilmesini hedefler. Bu deøiûikliklerin bilgi sistemlerinin genel iûleyiûi ve genel güvenlik seviyesi üzerinde herhangi bir olumsuz etki yapmamasını saølamak amacıyla çeûitli kontrol mekanizmaları kurulur.
Bu konuda ûu bulgular elde edilmiûtir:
Hazine Müsteûarlıøının yazılı bir deøiûim yönetimi metodolojisi bulunmamaktadır.
Kurumda biliûim sistemleriyle ilgili tüm deøiûiklik isteklerinin tek bir merkezde toplandıøı, takip edildiøi ve raporlandıøı bir yapı bulunmamaktadır.
Deøiûikliklerin ne ûekilde test edileceøini ve belgeleneceøini gösteren standartlar bulunmamaktadır.
Sadece onaylanmıû ve test edilmiû yazılımların uygulama ortamına aktarıldıøını güvence altına alacak yeterli kontroller bulunmamaktadır.
Yazılım geliûtiren personelin uygulama ortamına eriûmeleri ve uygulama ortamında yazılım deøiûikliøi yapmaları engellenmemiûtir. Programcıların, programlar ve veriler üzerinde yaptıkları deøiûiklikler log dosyalarında takip edilmemektedir.
Tüm kullanıcılarda aynı versiyon programın çalıûmasını saølayan bir uygulama bulunmamaktadır.
Yazılımlar üzerinde acilen yapılan deøiûiklikler log dosyalarında takip edilmemekte, bunlara iliûkin özel bir raporlama ve gözetim mekanizması bulunmamaktadır.
Yazılım kodlarının korunması, programların sınıflandırılması ve deøiûik versiyonlarının muhafaza edilmesi ile ilgili yeterli kontrol mekanizmaları bulunmamaktadır.
GùRDù KONTROLLERùNE ùLùúKùN BULGULAR
Sisteme giriûi yapılan veriler, sistemler tarafından üretilen her türlü bilginin ve raporun temelini teûkil etmektedir. Verilerin sisteme yalnızca yetkili kiûiler tarafından, doøru kaynaklara dayanarak ve doøru bir ûekilde girilmesini saølamak üzere oluûturulan kontroller girdi kontrolleri olarak adlandırılmaktadır.
Bu konuda ûu bulgular elde edilmiûtir:
Sistemde yer alan veriler üzerinde yapılan deøiûiklikler belgelenmemekte ve yeterli ûekilde kontrol edilmemektedir.
Sisteme kaydedilecek veriler için standart veri giriû formları kullanılmamaktadır. Verilerin kaydedilmesini takiben, ilgili belgelerin onaylanarak saymanlıøa intikal ettirilmesine iliûkin süreçler yetersizdir.
Kaynak niteliøinde olmayan belgelerle kayıt yapılmasını engelleyecek prosedürler geliûtirilmemiûtir.
Aynı verinin sisteme mükerrer kaydedilmesini önleyecek otomatik uyarı mekanizmaları kurulmamıûtır.
PERSONEL VE E÷ùTùM POLùTùKALARINA ùLùúKùN BULGULAR
Biliûim sistemlerinin kaynaklanan sorunların büyük bir kısmı insanlar tarafından yapılan hata, ihmal ve suistimallerden kaynaklanmaktadır. Bu nedenle kurumların, personelin hata yapma riskini düûürecek kontroller kurmaları önem kazanmaktadır.
Bu konuda ûu bulgular elde edilmiûtir:
Kurum çalıûanlarının kiûi bazında görev tanımları bulunmamaktadır.
Kurumda birbiriyle baødaûmayacak nitelikteki görevler belirlenmemiû ve bunların farklı kiûiler tarafından yürütülmesi güvence altına alınmamıûtır.
Kilit konumdaki personelin izin kullanmasını veya rotasyona tabi tutulmasını zorunlu kılan politika ve prosedürler bulunmamaktadır.
Personel temini ile ilgili genel uygulamalar, biliûim sisteminin ihtiyacı olan nitelikli iû gücünün temin edilmesini güçleûtirmektedir.
BELGELEME POLùTùKALARINA ùLùúKùN BULGULAR
Kurumun belgeleme politikalarının yetersiz olması, personelin hatalı veya yetkisiz iûlem yapma riskini yükseltebilir. Ayrıca, sistemde bir hata meydana geldiøi zaman, eøer iûlemler yeterli bir ûekilde belgelenmemiûse, hatanın sebebinin tespiti de güçleûebilir.
Bu konuda ûu bulgular elde edilmiûtir:
Kurumda, temel konulardaki politikaların belirlenmesine yönelik olarak alınan kararlar, yeterli ûekilde belgelenmemektedir.
Kurumda yürütülen süreçler (iû akıûları) yeterli ûekilde belgelenmemekte, teamüllere ve kiûilere baølı olarak yürütülmektedir.
Bilgi ùûlem Merkezinin faaliyetleriyle ilgili belgeleme usulleri yeterli deøildir.
Sisteme girilen verilerle bu verilerin kaynaøını oluûturan belgeler arasında uygun bir irtibat kurulmamaktadır.
Sistemdeki verilerin kaynaøını oluûturan belgelerin arûivlenmesiyle ilgili düzenlemeler yetersizdir.
ùÇ DENETùME ùLùúKùN BULGULAR
ùç denetim, bir kurum yönetimince görevlendirilen denetim elemanları tarafından, kurumun sistem ve usullerini deøerlendirmek ve hesaplardaki yolsuzluk, maddi hata, yanlıûlık ve verimsiz uygulama ihtimallerini asgariye indirmek amacıyla yapılan denetimdir.
Bu konuda ûu bulgu elde edilmiûtir:
Kurumda iç denetim mekanizması çalıûmamaktadır.
Hazine biliûim sistemlerinin denetimi sonucunda tespit edilen risklerle ilgili grafikler aûaøıda verilmiûtir.
SONUÇ
1. Hazine Müsteûarlıøında ûu anda kullanılmakta olan biliûim sisteminin hesaplara esas olan cetvelleri güvenilir bir ûekilde üretmeye yeterli olmadıøı tespit edilmiûtir.
2. Yeniden tanzim edilerek Sayıûtaya verilen 1995-2002 yıllarına ait dıû borç hesapları, tam, doøru ve uygun olmadıkları gerekçesiyle Sayıûtay Genel Kurulunun 06.10.2003 tarih ve 5071/1 sayılı kararı ile reddedilmiûtir.
Reddedilen Hazine hesaplarına uygunluk verilebilmesi için;
Hazine biliûim sistemlerinin yeniden yapılandırılması çalıûmaları tamamlanmalıdır.
Yeni sistemde, Hazine Biliûim Sistemleri raporunda deøinilen ve sistemin güvenilirliøini zedeleyen kontrol zaafları giderilmelidir.
Sistem tarafından üretilen cetvel ve bilgiler, 2003 yılı uygunluk bildirimi çalıûmalarından önce, Hazine Müsteûarlıøının da görüûü alınmak suretiyle Sayıûtay Genel Kurulu tarafından belirlenecek esaslar çerçevesinde, Devlet Borçları Saymanlıøına intikal ettirilerek Sayıûtaya verilmelidir.
