Karar Künyesi
Kurum üst yönetimiyle bilişim sistemlerini yöneten birim arasındaki ilişkinin, orta ve uzun vadeli stratejiler ve planlar ile gözetim ve denetim faaliyetleri çerçevesinde yürütülmesinde yetersizlik olduğu gözlemlenmiştir
5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu'nun, 55'inci maddesinde iç kontrol şu şekilde tanımlanmıştır:
“İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür (…)"
İç kontrol özetle, idarenin sağlıklı çalışmasını etkileme ihtimali olan risklerin tanımlanması ve bu riskleri ortadan kaldıracak eylem ve süreçlerin oluşturulmasıdır. Kurumların faaliyetlerinin büyük ölçüde bilişim sistemleri desteğiyle yürütülmesi sebebiyle günümüzde iç kontrollerin önemli bir kısmının bilişim ortamında oluşturulması gerekmektedir. Nitekim Maliye Bakanlığı tarafından 5018 sayılı kanuna dayanılarak 2007 yılında yayınlanan Kamu İç Kontrol Standartları Tebliği'nde bu husus standarda bağlanmıştır. Tebliğde yer alan
12 numaralı "Bilgi sistemleri kontrolleri" standardında, idarelerin, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmalarını geliştirmeleri gerektiği vurgulanmış ve “İdareler bilişim yönetişimini sağlayacak mekanizmalar geliştirmelidir” denilmiştir.
Bilişim sistemleri kontrolleri arasında yer alan yönetişim kontrollerinin amacı, güvenli ve yeterli bir bilişim ortamının sağlanması için kurumsal strateji ve amaçlara uygun yönetim, karar alma, yönlendirme ve izleme mekanizmalarının oluşturulmasını sağlamaktır. Bu kontroller kuruma, alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence sağlar.
Etkin bir bilişim sistemleri yönetişim yapısının kurulması; kurumun stratejik hedeflerine ulaşmasını, paydaş ihtiyaçlarına uygun ürünler ortaya çıkarmasını, bilişim sistemleri ile ilgili riskleri yönetmesini, kaynakları daha etkin kullanmasını, bilgi güvenliği gereklerine ve yasal mevzuata uygun çalışmasını destekler.
Yürütülen denetim çerçevesinde iç kontrollerin etkinliği değerlendirilirken bilişim sistemleri kontrolleri incelenmiş, Kurumda bilişim sistemlerinin geliştirilmesi ve güvenliğe kavuşturulması amacıyla çok kapsamlı ve yetkin çalışmalar yürütüldüğü, ancak yönetişim alanında kurulan kontrollerin yetersiz olduğu görülmüştür.
Kurumda Yazılı ve Müstakil Bir Bilişim Sistemleri Stratejisinin Oluşturulmaması
Kurum bilişim sistemlerine ilişkin çalışmaların yazılı ve müstakil bir planlama süreci çerçevesinde yürütülmediği, bunun, bilişim sistemlerinin üst yönetim tarafından yakından izlenmesini ve yönetilmesini öngören kontrollerin işletilmesinde yetersizliğe sebep olduğu görülmüştür.
e-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik'in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7'nci maddesinde, kamu kurum ve kuruluşlarının bilişim stratejileri hazırlaması gerektiği şu şekilde ifade edilmiştir:
“b) Kamu kurum ve kuruluşları, ulusal stratejiler ve planlar ile mevcut kurumsal stratejik planlarıyla uyumlu, kurumun e-Devlet hizmetleri sunumu amacıyla yapacakları yatırım, teknoloji tercihleri, kurumsal kapasite, tasarruf planları, fayda-maliyet, iş planı gibi unsurları kapsayacak bilişim stratejilerini hazırlar.”
Kurumun bilişim sistemleri ile ilgili hedefler, yatırımlar ve eylemler müstakil bir strateji ile yönetilmediğinden, bunların kurumun ana stratejisi ve amaçları ile ne derecede uyumlu olduğunun Kurum üst yönetimi tarafından izlenmesinin oldukça güç olduğu gözlenmiştir.
Kurum bünyesinde yürütülen çalışmalar çerçevesinde, müstakil bir bilişim sistemleri stratejisi geliştirme çalışmasının başlatıldığı görülmüştür.
Kurumun, üst yönetimin ve ilgili paydaş birimlerin katılımıyla yazılı ve müstakil bir bilişim sistemleri stratejisi oluşturması ve bu çerçevede yürütülen faaliyetlerin tamamlanması gerekmektedir.
Bilişim Sistemlerine İlişkin Planlama, Koordinasyon ve İzlemenin Sağlanmasına Yönelik Kurumsal Bir Mekanizmanın Bulunmaması
Kurum üst yönetiminin, bilişim sistemlerine ilişkin planlama, koordinasyon ve izleme faaliyetlerine etkin olarak katılmasını sağlayacak kurumsal süreç ve yapıların oluşturulmadığı gözlenmiştir.
Kurum bilişim sistemlerinin yönetişimini sağlamak, üst yönetiminin sorumluluğundadır. Bazı kurumlarda bu amaçla üst yönetimin içinde yer aldığı bir Bilişim Sistemleri Yönlendirme Kurulu veya eşdeğeri yapılar oluşturulmuştur.
Ancak, mevcut durumda Kurum üst yönetiminin bilişim sistemleri ile ilgili kararlara katılımının; görevlendirmelerin yapılması, bütçelerin ve satın alma süreçlerinin onaylanması ve genel çalışma çerçevesini belirleyen iç düzenlemelerin yapılması gibi faaliyetlerle sınırlı kaldığı görülmüştür. Bilişim ile ilgili kararlarda üst yönetimi, bilişim sistemleri yöneticilerini ve bilişim sistemlerinden doğrudan etkilenen önemli birimlerin yöneticilerini (paydaşları) bir araya getiren organ, kurul ve mekanizmalar ihdas edilmemiştir.
Kurum üst yönetiminin, bilişim sistemleriyle ilgili temel kararların alınması sürecine katılmasını, alınan kararların yürütülmesi sürecinde koordinasyonu sağlamasını ve sonuçları izlemesini temin edecek kurumsal mekanizma ve süreçlerin oluşturması gerekmektedir.
Bilişim Sistemlerine İlişkin Faaliyetlerin İç Denetime Tabi Tutulmaması
Kurum bilişim sistemlerinin üst yönetim adına iç denetime tabi tutulmadığı görülmüştür.
Kamu İç Kontrol Standartları Tebliği 17 numaralı standartta “İdareler fonksiyonel olarak bağımsız bir iç denetim faaliyetini sağlamalıdır.” denilmektedir.
27002 sayılı “Bilgi teknolojisi - Güvenlik teknikleri” adını taşıyan TSE standardının "Bilgi güvenliğinin bağımsız gözden geçirilmesi" başlıklı 18.2.1 numaralı bölümü, bağımsız gözden geçirmenin önemini vurgulamaktadır:
“Kuruluşun bilgi güvenliğine ve uygulamasının (örneğin; bilgi güvenliği için kontrol amaçları, kontroller, politikalar, prosesler ve prosedürler) yönetimine olan yaklaşımı belirli aralıklarla veya önemli değişiklikler meydana geldiğinde bağımsız bir şekilde gözden geçirilmelidir.”
Faaliyet alanının etkinliği dolayısıyla, esasen bilişim sistemlerinin yönetimiyle sorumlu birim, Kurum’un en güçlü birimleri arasında bulunmaktadır. Örneğin yeni bir yazılım geliştirildiğinde, kurumsal süreçlerin nasıl yürütüleceğini, kurumsal ve kişisel bilgilerin nasıl işleneceğini ve nasıl korunacağını, vb. kritik önemdeki birçok konuyu bilişim sistemlerinden sorumlu birim belirlemektedir.
Ancak, bilgi işlem biriminin sahip olduğu bu gücün kurum lehine kullanıldığı hususunda üst yönetime güvence temin edecek gerekli planlama ve gözetim mekanizmalarının kurulmadığı görülmüştür. Bilişim sistemleriyle ilgili olarak üst yönetim tarafından yürütülen kurumsal süreçler, bilişim kaynaklarının etkin bir şekilde yönetilmesi ve kararların doğru alınması için yeterli bilgiyi sağlamamaktadır.
Kuruma ait bilişim sistemleri, oldukça karmaşık, birbirini etkileyen ve dış dünyadan etkilenen iç içe geçmiş süreçlerle işletilmektedir. Bu karmaşık yapı içinde üst yönetim, bilişim alanında kurumsal hedeflere ulaşılmasını güvence altına alacak izleme, sonuçları değerlendirilme, gerektiğinde hedef ve planları revize etme faaliyetlerini yerine getirememektedir. Esasen, bu faaliyetlerin yürütülmesi için gerekli altyapıyı sağlayacak olan, bilişim sistemlerini yöneten birimlerin üst yönetim adına denetlenmesi sağlanmamıştır.
Bu hususlara ek olarak, Kurum'da bir iç denetim birimi kurulmamış olması sebebiyle bilişim sistemleri alanında denetim yapılması için gereken altyapı henüz bulunmamaktadır.
Kurumun ivedilikle bir iç denetim birimini oluşturması, bunu yaparken de bilişim sistemleri denetimini rutin faaliyetler arasında yer alacak şekilde planlaması gerekmektedir.
Sonuç olarak, bilişim sistemlerinin Kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak etkin bir bilişim sistemleri yönetişim yapısının oluşturması, bu amaçla bilişim sistemlerine ilişkin planlama süreçlerinin ve yönetişim mekanizmalarının ihdas edilmesi ve bilişim sistemleri denetiminin düzenli olarak yapılması gerekmektedir.