Kurum üst yönetimiyle bilişim sistemlerini yöneten birim arasındaki ilişkinin, orta ve uzun vadeli stratejiler ve planlar çerçevesinde yürütülmesinde, gözetim ve denetiminin yapılmasında yetersizlik olduğu gözlemlenmiştir

5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu'nun, 55'inci maddesinde iç kontrol şu şekilde tanımlanmıştır:

“İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür…"

İç kontrol özetle, idarenin sağlıklı çalışmasını etkileme ihtimali olan risklerin tanımlanması ve bu riskleri ortadan kaldıracak eylem ve süreçlerin oluşturulmasıdır. Kurumların faaliyetlerinin büyük ölçüde bilişim sistemleri desteğiyle yürütülmesi sebebiyle günümüzde iç kontrollerin önemli bir kısmının bilişim ortamında oluşturulması gerekmektedir. Nitekim Maliye Bakanlığı tarafından 5018 sayılı Kanuna dayanılarak 2007 yılında yayınlanan Kamu İç Kontrol Standartları Tebliği'nde bu husus standarda bağlanmıştır. Tebliğde yer alan

12 numaralı "Bilgi sistemleri kontrolleri" standardında, idarelerin, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmalarını geliştirmeleri gerektiği vurgulanmış ve “İdareler bilişim yönetişimini sağlayacak mekanizmalar geliştirmelidir” denilmiştir.

Bilişim sistemleri kontrolleri arasında yer alan yönetişim kontrollerinin amacı, güvenli ve yeterli bir bilişim ortamının sağlanması için kurumsal strateji ve amaçlara uygun yönetim, karar alma, yönlendirme ve izleme mekanizmalarının oluşturulmasını sağlamaktır. Bu kontroller kuruma, alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence sağlar.

Etkin bir bilişim sistemleri yönetişim yapısının kurulması; kurumun stratejik hedeflerine ulaşmasını, paydaş ihtiyaçlarına uygun ürünler ortaya çıkarmasını, bilişim sistemleri ile ilgili riskleri yönetmesini, kaynakları daha etkin kullanmasını, bilgi güvenliği gereklerine ve yasal mevzuata uygun çalışmasını destekler.

Yürütülen denetim çerçevesinde iç kontrollerin etkinliği değerlendirilirken bilişim sistemleri kontrolleri incelenmiş, Kurumda bilişim sistemlerinin geliştirilmesi ve güvenliğe kavuşturulması amacıyla kapsamlı ve yetkin çalışmalar yürütüldüğü, ancak yönetişim alanında kurulan kontrollerin yetersiz olduğu görülmüştür.

1. Kurumda Yazılı ve Müstakil Bir Bilişim Sistemleri Stratejisinin Oluşturulmaması

   Kurum bilişim sistemlerine ilişkin çalışmaların üst yönetim tarafından yönlendirilmesini ve izlemesini öngören kontrollerin zayıf olduğu görülmüştür.

   e-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik'in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7'nci maddesinde, kamu kurum ve kuruluşlarının bilişim stratejileri hazırlaması gerektiği şu şekilde ifade edilmiştir:

   “b) Kamu kurum ve kuruluşları, ulusal stratejiler ve planlar ile mevcut kurumsal stratejik planlarıyla uyumlu, kurumun e-Devlet hizmetleri sunumu amacıyla yapacakları yatırım, teknoloji tercihleri, kurumsal kapasite, tasarruf planları, fayda-maliyet, iş planı gibi unsurları kapsayacak bilişim stratejilerini hazırlar.”

   Bilişim sistemleri kontrollerini güçlendirme çalışmaları çerçevesinde Kurum tarafından 2020 yılı içinde bir dizi çalışma yürütüldüğü, bu çerçevede bilgi güvenliği çerçevesini tanımlayan çeşitli taslak belgeler oluşturulduğu ve bilişim stratejisini hazırlayacak bir Bilişim Sistemleri Yönlendirme Kurulu oluşturulması çalışmaları yürütüldüğü görülmüştür. Ancak söz konusu çalışmalar tamamlanmadığından, halihazırda Kurumun bilişim sistemleri ile ilgili hedefler, yatırımlar ve eylemler müstakil bir strateji ile yönetilmemektedir. Bilgi İşlem Birimi tarafından yürütülen faaliyetlerin kurumun ana stratejisi ve amaçları ile ne derecede uyumlu olduğunun Kurum üst yönetimi tarafından izlenmesinin oldukça güç olduğu gözlenmiştir.

   Kurumun, üst yönetimin ve ilgili paydaş birimlerin katılımıyla yazılı ve müstakil bir bilişim sistemleri stratejisi oluşturması gerekmektedir.

   
   

2. Bilişim Sistemlerine İlişkin Planlama, Koordinasyon ve İzlemenin Sağlanmasına Yönelik Kurumsal Bir Mekanizmanın Bulunmaması

   Kurum üst yönetiminin, bilişim sistemlerine ilişkin planlama, koordinasyon ve izleme faaliyetlerine etkin olarak katılmasını sağlayacak kurumsal süreç ve yapıların oluşturulması çalışmalarının tamamlanmadığı gözlenmiştir.

   Bilişim faaliyetlerinin geleceğinin planlanması, bu faaliyetlerin başarısı için gerekli kurum içi koordinasyonun temin edilmesi ve faaliyet sonuçlarının izlenmesi faaliyetleri büyük ölçüde Bilgi İşlem Daire Başkanlığına bırakılmış durumdadır. Ancak bilgi işlem biriminin organizasyon yapısı içindeki yeri, birime devredilmiş olan yetkiler, birim bütçesi ve personel sayısı söz konusu faaliyetlerin yerine getirilmesi için yeterli bulunmamaktadır.

   Kurum bilişim sistemlerinin yönetişimini sağlamak üst yönetimin sorumluluğundadır. Kurumda bu amaçla yıl içinde üst yönetimin gözetiminde bir Bilişim Sistemleri Yönlendirme Kurulu ve ayrı bir Bilgi Güvenliği Kurulu kurulması için taslak belgeler oluşturulduğu, ancak bunların uygulamaya geçirilmemiş olduğu görülmüştür.

   Mevcut durumda Kurum üst yönetiminin bilişim sistemleri ile ilgili kararlara katılımının; görevlendirmelerin yapılması, bütçelerin ve satın alma süreçlerinin onaylanması ve genel çalışma çerçevesini belirleyen iç düzenlemelerin yapılması gibi faaliyetlerle sınırlı kaldığı görülmüştür.

   Kurum üst yönetiminin, bilişim sistemleriyle ilgili temel kararların alınması sürecine katılmasını, alınan kararların yürütülmesi sürecinde koordinasyonu sağlamasını ve sonuçları izlemesini temin edecek kurumsal mekanizma ve süreçlerin oluşturması gerekmektedir.

3. Bilişim Sistemlerine İlişkin Faaliyetlerin İç Denetime Tabi Tutulmaması

Kurum bilişim sistemlerinin üst yönetim adına iç denetime tabi tutulmadığı görülmüştür.

Kamu İç Kontrol Standartları Tebliği 17 numaralı standartta “İdareler fonksiyonel olarak bağımsız bir iç denetim faaliyetini sağlamalıdır.” denilmektedir.

27002 sayılı “Bilgi teknolojisi - Güvenlik teknikleri” adını taşıyan TSE standardının "Bilgi güvenliğinin bağımsız gözden geçirilmesi" başlıklı 18.2.1 numaralı bölümü, bağımsız gözden geçirmenin önemini vurgulamaktadır:

“Kuruluşun bilgi güvenliğine ve uygulamasının (örneğin; bilgi güvenliği için kontrol amaçları, kontroller, politikalar, prosesler ve prosedürler) yönetimine olan yaklaşımı belirli aralıklarla veya önemli değişiklikler meydana geldiğinde bağımsız bir şekilde gözden geçirilmelidir.”

Faaliyet alanının etkinliği dolayısıyla, esasen bilişim sistemlerinin yönetimiyle sorumlu birim, Kurum’un en güçlü birimleri arasında bulunmaktadır. Örneğin yeni bir yazılım geliştirildiğinde, kurumsal süreçlerin nasıl yürütüleceğini, kurumsal ve kişisel bilgilerin nasıl işleneceğini ve nasıl korunacağını, vb. kritik önemdeki birçok konuyu bilişim sistemlerinden sorumlu birim belirlemektedir.

Ancak, bilgi işlem biriminin sahip olduğu bu gücün kurum lehine kullanıldığı hususunda üst yönetime güvence temin edecek gerekli planlama ve gözetim mekanizmalarının kurulmadığı görülmüştür. Bilişim sistemleriyle ilgili olarak üst yönetim tarafından yürütülen kurumsal süreçler, bilişim kaynaklarının etkin bir şekilde yönetilmesi ve kararların doğru alınması için yeterli bilgiyi sağlamamaktadır.

Kuruma ait bilişim sistemleri, oldukça karmaşık, birbirini etkileyen ve dış dünyadan etkilenen iç içe geçmiş süreçlerle işletilmektedir. Bu karmaşık yapı içinde üst yönetim, bilişim alanında kurumsal hedeflere ulaşılmasını güvence altına alacak izleme, sonuçları değerlendirme, gerektiğinde hedef ve planları revize etme faaliyetlerini yerine getirememektedir. Esasen, bu faaliyetlerin yürütülmesi için gerekli altyapıyı sağlayacak olan, bilişim sistemlerini yöneten birimlerin iç denetim birimi tarafından üst yönetim adına denetlenmesi sağlanmamıştır.

Bilişim sistemleri denetiminin, Kurum'da mevcut olan iç denetim biriminin rutin faaliyetleri arasında yer alacak şekilde planlanarak yürütülmesi ve üst yönetime raporlanması gerekmektedir.

Kurum cevabında, bir bilişim sistemleri stratejisi oluşturulmasına karar verildiği, stratejiyi hazırlayacak ve bilişim sistemlerine yönelik planlama, koordinasyon ve izlemeyi sağlayacak kurumsal mekanizmaların planlanmakta olduğu bilgisi verilmiştir.

İç denetim eksikliğine ilişkin olarak, Bilgi İşlem Daire Başkanlığı bünyesinde 10 personel tarafından bilgi güvenliği sertifikasyon süreci çerçevesinde iç denetçi sertifikası alınmış olduğu bildirilmiştir. Bilişim hizmetlerini yürüten birimin bilgi güvenliğine ilişkin denetim faaliyetlerinde bulunması oldukça olumlu bir adımdır. Ancak, bulguda değinilen iç denetim eksikliği, kurum üst yönetimi adına, Bilgi İşlem Daire Başkanlığı'ndan bağımsız şekilde iç denetim yapılmamasından kaynaklanmaktadır. Bilişim hizmetlerini yürüten birim tarafından yapılacak denetimin, bu ihtiyacı karşılayacak nitelikte olmayacağı açıktır.

Sonuç olarak, bilişim sistemlerinin Kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak etkin bir bilişim sistemleri yönetişim yapısının oluşturması, bu amaçla bilişim sistemlerine ilişkin planlama süreçlerinin ve yönetişim mekanizmalarının ihdas edilmesi ve bilişim sistemleri denetiminin düzenli olarak yapılması gerekmektedir.