Kurum üst yönetimiyle bilişim sistemlerini yöneten birim arasındaki ilişkinin, orta ve uzun vadeli stratejiler ve planlar çerçevesinde yürütülmesinde, gözetim ve denetiminin yapılmasında yetersizlik olduğu gözlemlenmiştir

5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu'nun, 55'inci maddesinde iç kontrol şu şekilde tanımlanmıştır:

“İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların

korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür…"

İç kontrol özetle, idarenin sağlıklı çalışmasını etkileme ihtimali olan risklerin tanımlanması ve bu riskleri ortadan kaldıracak eylem ve süreçlerin oluşturulmasıdır. Kurumların faaliyetlerinin büyük ölçüde bilişim sistemleri desteğiyle yürütülmesi sebebiyle günümüzde iç kontrollerin önemli bir kısmının bilişim ortamında oluşturulması gerekmektedir. Nitekim Maliye Bakanlığı tarafından 5018 sayılı Kanuna dayanılarak 2007 yılında yayınlanan Kamu İç Kontrol Standartları Tebliği'nde bu husus standarda bağlanmıştır. Tebliğde yer alan

12 numaralı "Bilgi sistemleri kontrolleri" standardında, idarelerin, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmalarını geliştirmeleri gerektiği vurgulanmış ve “İdareler bilişim yönetişimini sağlayacak mekanizmalar geliştirmelidir” denilmiştir.

Bilişim sistemleri kontrolleri arasında yer alan yönetişim kontrollerinin amacı, güvenli ve yeterli bir bilişim ortamının sağlanması için kurumsal strateji ve amaçlara uygun yönetim, karar alma, yönlendirme ve izleme mekanizmalarının oluşturulmasını sağlamaktır. Bu kontroller kuruma, alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence sağlar.

Etkin bir bilişim sistemleri yönetişim yapısının kurulması; kurumun stratejik hedeflerine ulaşmasını, paydaş ihtiyaçlarına uygun ürünler ortaya çıkarmasını, bilişim sistemleri ile ilgili riskleri yönetmesini, kaynakları daha etkin kullanmasını, bilgi güvenliği gereklerine ve yasal mevzuata uygun çalışmasını destekler.

Yürütülen denetim çerçevesinde iç kontrollerin etkinliği değerlendirilirken bilişim sistemleri kontrolleri incelenmiş, Kurumda bilişim sistemlerinin geliştirilmesi ve güvenliğe kavuşturulması amacıyla kapsamlı ve yetkin çalışmalar yürütüldüğü, ancak yönetişim alanında kurulan kontrollerin yetersiz olduğu görülmüştür.

1. Kurumda Yazılı ve Müstakil Bir Bilişim Sistemleri Stratejisinin Oluşturulmaması

   Kurum bilişim sistemlerine ilişkin çalışmaların üst yönetim tarafından planlanmasını, yönlendirilmesini ve izlemesini öngören kontrollerin zayıf olduğu görülmüştür.

   
   

   e-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik'in “Kamu kurum ve kuruluşlarının görev ve sorumlulukları” başlıklı 7'nci maddesinde, kamu kurum ve kuruluşlarının bilişim stratejileri hazırlaması gerektiği şu şekilde ifade edilmiştir:

   “b) Kamu kurum ve kuruluşları, ulusal stratejiler ve planlar ile mevcut kurumsal stratejik planlarıyla uyumlu, kurumun e-Devlet hizmetleri sunumu amacıyla yapacakları yatırım, teknoloji tercihleri, kurumsal kapasite, tasarruf planları, fayda-maliyet, iş planı gibi unsurları kapsayacak bilişim stratejilerini hazırlar.”

   Kurumun bilişim sistemleri ile ilgili hedefler, yatırımlar ve eylemler müstakil bir plan ile yönetilmediğinden, bunların kurumun ana stratejisi ve amaçları ile ne derecede uyumlu olduğunun Kurum üst yönetimi tarafından izlenmesinin oldukça güç olduğu gözlenmiştir.

   Kurumun, üst yönetimin ve ilgili paydaş birimlerin katılımıyla yazılı ve müstakil bir bilişim sistemleri stratejisi oluşturması gerekmektedir.

2. Bilişim Sistemlerine İlişkin Planlama, Koordinasyon ve İzlemenin Sağlanmasına Yönelik Kurumsal Bir Mekanizmanın Bulunmaması

Kurum üst yönetiminin, bilişim sistemlerine ilişkin planlama, koordinasyon ve izleme faaliyetlerine etkin olarak katılmasını sağlayacak kurumsal süreç ve yapıların oluşturulmadığı görülmüştür.

Bilişim faaliyetlerinin geleceğinin planlanması, bu faaliyetlerin başarısı için gerekli kurum içi koordinasyonun temin edilmesi ve faaliyet sonuçlarının izlenmesi faaliyetleri büyük ölçüde Bilgi İşlem Daire Başkanlığına bırakılmış durumdadır. Ancak bilgi işlem biriminin organizasyon yapısı içindeki yeri, birime devredilmiş olan yetkiler, birim bütçesi ve personel sayısı söz konusu faaliyetlerin yerine getirilmesi için yeterli bulunmamaktadır.

Kurum bilişim sistemlerinin yönetişimini sağlamak üst yönetimin sorumluluğundadır. Bazı kurumlarda üst yönetim, söz konusu yönetişimi sağlamak amacıyla müstakil yönlendirme kurulları veya eşdeğer yapılar oluşturmaktadır.

Ancak, yapılan incelemede Kurum üst yönetiminin bilişim sistemleri ile ilgili kararlara katılımının; görevlendirmelerin yapılması, bütçelerin ve satın alma süreçlerinin onaylanması ve genel çalışma çerçevesini belirleyen iç düzenlemelerin yapılması gibi faaliyetlerle sınırlı kaldığı görülmüştür. Bilişim ile ilgili kararlarda üst yönetimi, bilişim sistemleri yöneticilerini ve bilişim sistemlerinden doğrudan etkilenen önemli birimlerin yöneticilerini (paydaşları) bir

araya getiren organ, kurul ve mekanizmalar ihdas edilmemiştir. Bu sebeple esasen, Kurum üst yönetimi, bilişim sistemlerinin yönetimiyle ilgili temel nitelikli kararların mahiyetini ve etkilerini kavrama ve bu kararları yönetme imkânına sahip bulunmamaktadır.

Kamu İdaresi tarafından gönderilen cevapta, Enstitü bilişim sistemlerinin temini, geliştirilmesi ve güvenliğe kavuşturulması için Bilgi İşlem Daire Başkanlığı tarafından her yılın başında kurum genelinde ihtiyaçların birimlerden toplanarak konsolide edildiği, ortaya çıkan taleplerin üst yönetiminin değerlendirmesine sunulduğu ve öncelik sırasının belirlendiği ifade edilmiştir. Kurumda yazılı ve müstakil bir bilişim sistemleri stratejisinin oluşturulmamasına ilişkin olarak, bilişim sistemleri yatırım ve eylemlerinin Stratejik Plan çerçevesinde belirlendiği belirtilmiştir. Bilişim sistemlerine ilişkin planlama, koordinasyon ve izlemenin sağlanmasına yönelik kurumsal bir mekanizmanın bulunmaması hakkında, Enstitü bünyesinde bilgisayar donanım ve yazılım taleplerinin her yıl başında birimlerden toplanan bilgilerin üst yönetime sunulduğu belirtilmiştir.

Ancak bulguda eksikliği tenkit edilen husus, Bilgi İşlem Daire Başkanlığı tarafından yerine getirilen faaliyetlerin üst yönetim tarafından onaylanmasından ibaret bulunmamaktadır. Bu eksikliğin giderilebilmesi için, kurum üst yönetiminin, bilişim sistemleriyle ilgili temel kararların alınması sürecine katılmasını, alınan kararların yürütülmesi sürecinde koordinasyonu sağlamasını ve sonuçları izlemesini temin edecek kurumsal mekanizma ve süreçlerin oluşturması gerekmektedir.

Sonuç olarak, bilişim sistemlerinin Kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak etkin bir bilişim sistemleri yönetişim yapısının oluşturması, bu amaçla bilişim sistemlerine ilişkin planlama süreçlerinin ve yönetişim mekanizmalarının ihdas edilmesi gerekmektedir.